SlideShare uma empresa Scribd logo
Lei Geral de Proteção de Dados
Pessoais (LGPD)
Curso de Aperfeiçoamento em Tecnologia
Créditos
Serviço Nacional de Aprendizagem Comercial – Senac/SC
Departamento Regional em Santa Catarina
FECOMÉRCIO
Presidente
Bruno Breithaupt
Diretor Regional
Rudney Raulino
Diretoria de Educação Profissional
Ana Elisa Cassal
Conteudista
Luciano Bridi
Desenvolvimento e Editoração
Setor de Tecnologias Educacionais – SETED
Coordenação Técnica
Setor de Tecnologias Educacionais – SETED
© Senac | Todos os Direitos Reservados
Sumário
CONTEXTUALIZANDO ���������������������������������������������� 5
1 O ENORME VALOR DOS DADOS PESSOAIS ������������������� 6
1.1 O CONCEITO DE DADO PESSOAL �������������������������������������������  7
1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO ����������������������  13
1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS ����  15
2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO
DE DADOS PESSOAIS ������������������������������������������  17
2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS:
UM FENÔMENO DA GLOBALIZAÇÃO �����������������������������������  18
2.2 O COMPLIANCE NA ORIGEM DO SISTEMA
DE PROTEÇÃO DE DADOS PESSOAIS �����������������������������������  20
2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO ��������������  21
3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL �����������  28
3.1 OS PRIMEIROS PASSOS ���������������������������������������������������������  28
3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR ���������������������������  30
3.3 O MARCO CIVIL DA INTERNET ����������������������������������������������  31
3.4 FINALMENTE, UMA LEI GERAL! ���������������������������������������������  32
4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO
DE DADOS PESSOAIS ������������������������������������������  34
4.1 OBJETIVOS �����������������������������������������������������������������������������  36
4.2 FUNDAMENTOS ��������������������������������������������������������������������  36
4.3 APLICABILIDADE �������������������������������������������������������������������  37
4.4 PRINCIPAIS CONCEITOS ��������������������������������������������������������  38
4.5 PRINCÍPIOS A SEREM OBSERVADOS �������������������������������������  39
4.6 AS BASES LEGAIS PARA O TRATAMENTO
DE DADOS PESSOAIS ������������������������������������������������������������  40
4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS ���������������  44
4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO  ����  45
4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS ������������������  46
4.10 AGENTES DE TRATAMENTO ������������������������������������������������  46
4.11 O ENCARREGADO PELO TRATAMENTO
DE DADOS PESSOAIS (DPO) �����������������������������������������������  46
4.12 SEGURANÇA E BOAS PRÁTICAS ������������������������������������������  47
4.13 FISCALIZAÇÃO E PENALIDADES ������������������������������������������  49
4.14 ANPD - AUTORIDADE NACIONAL
DE PROTEÇÃO DE DADOS ��������������������������������������������������  50
5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS ���������  53
5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS �����������������������  53
5.2 CENÁRIO INICIAL �������������������������������������������������������������������  54
5.3 O PERIGO DA FALTA DE ADEQUAÇÃO ����������������������������������  55
6 O QUE FAZER PARA FICAR EM DIA COM A LGPD �����������  57
6.1 CONSCIENTIZAÇÃO ���������������������������������������������������������������  57
6.2 ADEQUAÇÕES TÉCNICAS ������������������������������������������������������  58
6.3 ADEQUAÇÕES ADMINISTRATIVAS ����������������������������������������  59
6.4 A CULTURA DA PROTEÇÃO DE DADOS ���������������������������������  60
CONSIDERAÇÕES �������������������������������������������������  62
REFERÊNCIAS �����������������������������������������������������  63
Lei Geral de Proteção de Dados Pessoais (LGPD)	 5
CONTEXTUALIZANDO
Este curso, Lei Geral de Proteção de Dados Pessoais (LGPD), foi desenvolvido para atender uma
demanda crescente de profissionais que desejam obter maiores conhecimentos sobre essa
legislação, que tanto afetou o cotidiano das organizações e que entrou em vigor a partir de
18 de setembro de 2020. Sendo assim, este material irá contextualizar as razões do aumento
significativo da importância dos dados pessoais, demonstrando sua evolução legislativa em
nível mundial e de que forma isso está refletindo em nosso país.
Nos próximos anos, as oportunidades na área de segurança da informação crescerão
vertiginosamente. Na mesma proporção, as iniciativas de compliance também estarão entre
as prioridades do mercado. Para o bom desempenho nessas áreas, é fundamental que as
empresas disponham de pessoal qualificado e apto a desempenhar novas funções como a de
Encarregado de Dados, previsto na LGPD.
Agora, conheça alguns exemplos de atividades que exigem conhecimentos específicos, para
que sejam executadas com o devido zelo e atenção:
Compreender a abrangência da LGPD e entender seu escopo.
Ser capaz de identificar quais dados pessoais são tratados.
Entender a que tipos de riscos as empresas estão sujeitas e de que maneira
é possível preveni-los.
Saber o que fazer em caso de incidentes com dados pessoais.
Perceba que, nesse sentido, este curso será de grande valia, constituindo-se na base necessária
para uma adequada capacitação profissional.
Videoaula
Agora, clique aqui, assista ao vídeo e conheça a estrutura deste curso.
Dever de estar em conformidade com atos, normas e leis, para seu efetivo cumprimento.
Lei Geral de Proteção de Dados Pessoais (LGPD)	 6
1 O ENORME VALOR DOS DADOS PESSOAIS
Você já deve ter percebido que o valor que damos às coisas é subjetivo e mutável. Subjetivo, porque
o valor que um determinado bem tem para uma pessoa pode ser completamente diferente do valor
que esse mesmo bem tem para outra pessoa. Mutável, porque, ao longo do tempo, esse bem pode
perder ou ganhar valor, de acordo com as circunstâncias.
Para melhor compreender como o valor que damos às coisas pode mudar, observe a Figura 1.
Figura 1 - O valor de uma garrafa de água
UMA GARRAFA DE ÁGUA NA SUA CASA PODE SER ALGO
DE POUCA IMPORTÂNCIA PARA VOCÊ E SEUS FAMILIARES
MAS, SE ESSA MESMA GARRAFA SERVIR PARA MATAR
A SEDE DE UM VIAJANTE NO DESERTO DO SAARA,
CERTAMENTE TERÁ UM VALOR INESTIMÁVEL
Fonte: Senac SETED (2019).
Assim, ao longo do tempo, diferentes coisas foram sendo valorizadas na sociedade, enquanto outras
decresceram em termos de importância. Os valores atribuídos aos nossos bens mudaram e continuarão
mudando constantemente.
Fato inequívoco é o que ocorre com a cotação das empresas na bolsa de valores.
Que tal compreender como o valor das empresas foi sendo alterado ao longo dos anos?
	
Ÿ Quando as primeiras ações começaram a ser negociadas, o grande
diferencial para se atribuir valor a uma organização era o seu patri�
mônio físico: instalações, localização, maquinário...
	
Ÿ Posteriormente, o valor das empresas passou a ser ditado pela
qualidade de seus produtos, estoques, ativos financeiros e efici�
ência logística.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 7
	
Ÿ Mais recentemente, houve a valorização do capital humano e o
incentivo ao conhecimento e à inovação.
	
Ÿ Mas, na onda atual, o grande diferencial a atestar o valor de uma
empresa perante o mercado está na sua capacidade de adquirir,
armazenar, processar e utilizar a informação.
Para melhor compreensão deste primeiro tópico, cabe-nos rememorar alguns conceitos básicos de
Sistemas de Informação, em que a pergunta “o que é informação? ” nos é respondida, via de regra,
pelo seguinte enunciado:
“Informação é o dado com significado, processado de forma a ser útil” (XEXÉO, 2007).
Ao fazer um link dessa afirmação com o título deste primeiro tópico, “O enorme valor dos dados pes�
soais”, podemos concluir, logicamente, que dados são fundamentais para a produção de informações,
tornando-se uma espécie de combustível vital, tal qual o petróleo foi para a humanidade até pouco
tempo atrás.
E, no universo dos milhares de dados que circulam diariamente pelo cotidiano das organizações, um
tipo em especial vale mais do que qualquer outro: os dados pessoais!
Mas, você sabe o que são dados pessoais?
1.1 O CONCEITO DE DADO PESSOAL
Bem, já sabemos que os dados pessoais têm enorme valia nos dias atuais.
Mas afinal, o que é exatamente um dado pessoal?
Podemos começar respondendo da forma mais óbvia possível: dados pessoais são dados de pessoas,
aqueles que servem para identificá-las ou atribuir-lhes determinadas características.
Mas existe um ponto fundamental de corte: ao mencionar “dados pessoais” há um entendimento
mundial de que se tratam de dados de pessoas físicas, também chamadas pelos legisladores de
“pessoas naturais”. Em resumo: estamos falando de... gente.
Ou seja, ficam fora os dados de empresas e outras instituições, as chamadas “pessoas jurídicas”.
Contudo, isso não significa que tais dados não tenham valor ou que não devam ser protegidos. Signi�
fica apenas, que no espectro de aplicação das leis que versam sobre dados pessoais, eles não estão
contemplados.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 8
Também ficam fora da proteção gerada pela LGPD, os dados:
De animais.
De personagens fictícios.
De robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser
humano.
Agora, conheça como a LGPD, em seu Artigo 5º, inciso I, conceitua dado pessoal (grifos nossos):
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável
identificável;
Antes de prosseguir com seus estudos e conhecer os dados que estão ligados, diretamente, à pessoa e a
identificam instantaneamente, que tal relembrar o que você acabou de aprender sobre a LGPD?
NÃO
SE APLICA
 Dados de pessoas físicas
SE
APLICA
 Dados de pessoas jurídicas
 Dados de animais, personagens
fictícios, robôs ou de seres
incorpóreos, abstratos ou que
não se enquadrem na condição
de ser humano
LGPD
No âmbito das categorias de dados abrangidas pela LGPD, estão compreendidos os dados de todas as
pessoas físicas identificadas por tais dados ou identificáveis por eles.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 9
Para melhor compreender o que isso significa, observe a imagem a seguir.
DADOS QUE ESTÃO LIGADOS, DIRETAMENTE,
À PESSOA E A IDENTIFICAM INSTANTANEAMENTE
Nome e Sobrenome
CPF
DNA
Impressões digitais
Sexo
Cor da pele
Data de nascimento
DADOS PESSOAIS QUE, ISOLADAMENTE,
NÃO IDENTIFICAM SEU TITULAR
Fonte: Senac SETED (2019).
Perceba que, a princípio, se você tem a data de nascimento de alguém, isso apesar de ser um dado
pessoal, isoladamente, não servirá para identificar ninguém, pois há milhares de pessoas nascidas em
uma mesma data. Porém, se for feita uma associação desse dado, a algum outro dado pessoal, ou
contexto, o titular desse dado poderá ser identificado.
Agora, compreenda como a associação de dado pessoal e contexto pode auxiliar na identificação do
titular de um dado.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 10
Exemplo
Imagine que você tenha a data de nascimento de alguém: 29/02/1980. O famoso dia do ano bissexto,
aquele que só é acrescentado ao calendário de 4 em 4 anos.
Pois bem, ao analisá-lo de forma isolada, você saberá que, em todo o mundo, muita gente nasceu
nesta data, impossibilitando identificar a qual dessas pessoas pertence esse dado. Só a título de
curiosidade, segundo o World Data Lab, 278.841 pessoas nasceram nessa data no mundo.
Porém, se essa análise ocorrer dentro de um contexto menor, por exemplo, no ambiente de uma
empresa de médio porte, é possível que, com a simples menção da data de nascimento, você
identifique o colaborador que tenha nascido neste dia, pois o universo de comparação reduziu-se
significativamente. Assim, chamamos o titular de pessoa identificável.
Ainda nas categorias de dados, o legislador nos trouxe, no Art. 5º, inciso II, o conceito de dados sensíveis:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;
Figura 2 - Dados sensíveis
DADOS
SENSÍVEIS
Fonte: Senac SETED (2019).
Ao diferenciar tais dados, quis a LGPD, na esteira das principais leis de proteção de dados ao redor do
mundo, conferir proteção extra ao titular de dados, quando esses envolverem temas polêmicos ou de
foro íntimo, capazes de gerar algum tipo de discriminação ou preconceito.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 11
Agora, observe a seguir, dois exemplos de dados sensíveis.
	
Ÿ Ao informar sua religião, você pode sofrer com a prática de
bullying dentro da organização.
	
Ÿ Ao saber que uma pessoa é portadora de determinada doença,
uma empresa pode decidir por excluí-la de um processo seletivo.
Assim, os dados sensíveis possuem regras de utilização mais restritas, exigindo cuidados redobrados
no seu tratamento.
A terceira categoria de dados, envolve os chamados “dados anonimizados”. Diz o Art. 5º, inciso III, da
LGPD:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Esses são os casos nos quais se extrai determinados dados de uma base, geralmente para fins esta�
tísticos ou quantitativos, em que não será levada nenhuma outra informação capaz de identificar os
titulares desses dados.
Para melhor compreender os dados anonimizados, acompanhe o exemplo a seguir.
Exemplo
Em uma pesquisa da média1
de idade de colaboradores de uma empresa, colhem-se apenas as datas
de nascimento de todos os colaboradores, sem que isso signifique a capacidade de, isoladamente,
fornecer a identificação de alguém.
1 
Resultado da soma de todas as informações de um conjunto de dados dividida pelo número de dados que foram
somados.
Você sabia que a lei estabelece ainda, tratamento diferenciado para dados de crianças
dados de crianças e adolescentes
adolescentes?
É preciso consentimento específico e em destaque de pelo menos um dos pais ou do responsável
legal, para que haja conformidade no tratamento de dados.
Outro aspecto a ser considerado, é que, quanto à sua formatação, a lei não faz distinção entre dados
digitais e dados analógicos, concedendo o mesmo nível de proteção a ambos.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 12
Assim, tanto os arquivos de bases de dados de um software, armazenados em um determinado ser�
vidor, quanto eventuais fichas, formulários e papéis existentes na empresa, podem conter dados
pessoais e deverão ser mapeados.
Por fim, vale destacar que os dados pessoais podem ser do tipo “estruturados” ou “não estruturados”.
Agora, compreenda as diferenças entre esses tipos de dados.
Dados estruturados
Quando pertencentes a um banco de dados ou planilha, organizados sob a forma de tabela
e sequencialmente dispostos em cada registro.
Dados não estruturados
São os dados que carecem de uma estrutura prévia de alocação, podendo aparecer sob
diferentes formatos e meios de armazenamento.
Figura 3 - Dados estruturados X Dados não estruturados
DADOS ESTRUTURADOS DADOS NÃO ESTRUTURADOS
0.103 0.176 0.387 0.300 0.379
0.333 0.384 0.564 0.587 0.857
0.421 0.309 0.654 0.729 0.228
0.266 0.750 1.056 0.936 0.911
0.225 0.326 0.643 0.337 0.721
0.187 0.586 0.529 0.340 0.829
0.153 0.485 0.560 0.428 0.628
Fonte: Adaptada de Laserfiche®
(2019).
Que tal conhecer alguns exemplos de dados não estruturados?
Dados pessoais constantes em um texto qualquer, que tenha sido digitalizado em formato PDF.
Imagens de pessoas postadas em redes sociais.
Textos, áudios ou vídeos constantes de aplicativos de troca de mensagens, como o WhatsApp.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 13
Em função disso, vale lembrar que ao se pensar em segurança dos dados pessoais, deve-se proteger
também os dados não estruturados, pois muitas vezes, é deles que vazam características e detalhes
que podem comprometer a privacidade, a intimidade ou a honra do titular.
1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO
Embora já saibamos que a LGPD concede igual nível de proteção, sem distinguir os dados digitais
dos dados analógicos, o fato é que o avanço tecnológico proporcionou os insumos necessários para
a disseminação do uso de dados pessoais, principalmente, em função da quebra de duas restrições
técnicas, que dificultavam o tratamento de dados no passado. Agora, descubra quais são essas duas
restrições técnicas que foram quebradas pelo avanço tecnológico.
A capacidade de armazenamento de dados.
A velocidade de processamento dos dados.
Agora, que tal compreender essas duas restrições técnicas?
Capacidade de armazenamento de dados
Nos primórdios da computação, cada byte economizado na gravação de um determinado
dado, representava uma economia significativa para desenvolvedores e usuários de siste�
mas computadorizados. Não foi à toa que, na virada do ano 2000, o mundo se viu às voltas
com o chamado “Bug do Milênio”.
Esse aparente erro de interpretação de data nos softwares, na verdade ocorria somente
porque os programadores da época, no intuito de economizar espaço de armazenamento
em disco, ao invés de gravarem as datas no formato DD/MM/AAAA, com quatro dígitos no
ano, utilizavam o formato DD/MM/AA, com apenas dois dígitos no ano, poupando, assim,
dois preciosos bytes a cada data armazenada.
Figura 4 - Centro de processamento de dados
Fonte: Wikimedia Commons (2019).
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 14
Porém, com a virada do milênio, os sistemas passaram a entender as datas do ano 2000,
gravadas apenas com 00, como significando 1900, gerando imensa confusão e obrigando
as empresas de TI (Tecnologia da Informação) a gastarem vários bilhões de dólares com o
custo da adequação dos sistemas.
A realidade atual é absolutamente outra. Hoje, o custo de armazenagem de dados caiu
vertiginosamente. Em tempos de big data, data warehouse e data mining, o que se prega
é exatamente o contrário: armazene a maior quantidade possível de informações sobre
seus clientes, fornecedores e seja lá tudo o mais que possuam dados, com os quais você se
relaciona ou pretende se relacionar. Afinal, os dados, agora, são valiosíssimos. Então, quanto
mais eu puder armazenar, mais poderei explorar.
Velocidade de processamento dos dados
Esse ponto de inflexão no tratamento de dados ocorreu, diretamente, em função de um
aspecto exclusivamente técnico. As máquinas passaram, gradativamente, a poder proces�
sar uma quantidade muito maior de dados, cada vez em menos tempo, de forma segura e
barata.
Entre o pessoal da área de Tecnologia da Informação é muito conhecida a chamada “Lei de
Moore”. Essa lei refere-se a uma “profecia” realizada por Gordon Earle Moore, presidente
da Intel na época, em meados dos anos 60. Segundo essa lei:
“A velocidade de processamento das máquinas dobra a cada dezoito meses.”
Figura 5 - Gordon Earle Moore
Fonte: Flickr da Intel Free Press (2013).
Big data: Termo que descreve o grande volume de dados - estruturados e não estruturados - que impactam
os negócios diariamente.
Data warehouse: Depósito de dados digitais que serve para armazenar informações detalhadas relativas
a uma empresa, criando e organizando relatórios através de históricos que serão usados, posteriormente,
pela empresa para ajudar na tomada de decisões importantes.
Data mining: A tradução dessa expressão é mineração de dados. Consiste em uma funcionalidade que
agrega e organiza dados, encontrando neles: padrões, associações, mudanças e anomalias relevantes.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 15
A verdade é que aquilo que Moore profetizou, tornou-se realidade e hoje o céu é o limite.
O crescimento exponencial da capacidade das máquinas em armazenar e processar
velozmente os dados, abriu margem a uma série de combinações algorítmicas, antes
inimagináveis, possibilitando cruzamentos de dados e obtenção de informações detalhadas
e complexas, a cabo de uns poucos segundos.
Saiba mais
Para conhecer um pouco mais sobre a Lei de Moore e compreender o porquê você deve se preocupar
com o fim dela, clique aqui. Boa leitura!
Ora, se o grande objetivo de se coletar e armazenar dados é produzir informações valiosas a partir de
seu processamento, e se fazer isso, do ponto de vista tecnológico, se tornou rápido e barato, então
as empresas irão buscar cada vez mais obter dados para dar sequência a essa produção de riqueza...
1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS
Diante de um cenário tecnológico extremamente favorável, algumas grandes empresas da área come�
çaram a exercer um poder oculto, mascarando as reais finalidades das coletas de dados, direcionando
informações, influenciando decisivamente nas escolhas feitas pelas pessoas.
Foi nesse momento, ante a necessidade de se colocar freios na utilização abusiva dos dados pessoais,
que as legislações de proteção, antes tímidas, esparsas e setorizadas, foram ganhando corpo, até
se transformarem em um sistema transnacional e efetivo de proteção de dados, dotado de imensa
capacidade coercitiva.
Ao analisarmos as principais legislações de proteção de dados pelo mundo, concluiremos que seus
princípios basilares são sempre os mesmos, buscando manter:
A liberdade,
A privacidade e
A capacidade de autodeterminação informativa das pessoas.
Agora é com você!
Agora, antes de prosseguir com seus estudos e conhecer a evolução histórica da legislação de dados
pessoais, acesse o Material de Estudo deste curso no Ambiente Virtual de Aprendizagem (AVA) e
realize a atividade de Reflita e Responda proposta
Poder do indivíduo determinar e controlar a utilização de seus dados pessoais.
1 - O enorme valor dos dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 16
Na nossa preparação para compreendermos, adequada�
mente, o funcionamento da LGPD, este tópico abordou
o contexto atual dos aspectos relacionados à proteção
de dados pessoais. Tivemos a oportunidade de entender
as razões para a alta valorização dos dados pessoais e o
quanto a evolução tecnológica influenciou nisso. E vimos,
também, a necessidade premente de se criar regras que
possam coibir os abusos que vêm ocorrendo com a utili�
zação indiscriminada de nossos dados.
No próximo tópico, veremos como está ocorrendo a evolução dessas regras em um mundo globalizado
e sua ligação com os sistemas regulatórios de compliance.
Mas, antes de compreender a evolução da legislação de dados pessoais, que tal conferir o texto oficial da
LGPD na íntegra?
Para isso, clique aqui. Boa leitura!
Imediata, urgente.
PESSOAS FÍSICAS
DADOS PESSOAIS
DADOS
ANONIMIZADOS
DADOS ESTRUTURADOS
PESSOA IDENTIFICÁVEL
DADOS SENSÍVEIS
INFORMAÇÃO
DADOS
DIGITAIS
DADOS ANALÓGICOS
PROCESSAR
VALOR
LGPD
ARMAZENAR
DADOS NÃO ESTRUTURADOS
Lei Geral de Proteção de Dados Pessoais (LGPD)	 17
2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS
A preocupação com a preservação dos dados pessoais não é algo novo. Nasceu, praticamente, com a
própria sociedade, pois desde tempos imemoriais, sabe-se que o direito à privacidade, à intimidade e
ao sigilo das conversas sempre foi importante para a harmonia social e para o bom desenvolvimento
das relações humanas.
Figura 6 - O antivírus
Ufa!!! Que bom que tenho
um excelente antivírus.
Nossa,
um vírus!
Fonte: Adaptada de Blog Bit Atualidades - Charges sobre informática (2011).
Mas, o fato é que o surgimento de novas tecnologias, com expoência para a disseminação do uso do
computador a partir da década de 40, proporcionaram um significativo incremento nas formas de
coleta, armazenamento e processamento de dados. Conclusões, análises de resultados e cálculos esta�
tísticos, que outrora levavam meses para ficarem prontos, agora estavam a poucas horas de distância.
Por outro lado, com o advento da Segunda Guerra Mundial, a preocupação com o uso abusivo dos
dados pessoais cresceu significativamente, fazendo nascer toda uma cultura de proteção de dados.
Isso aconteceu, notoriamente, na Europa, onde milhões de seres humanos foram condenados à
morte nas câmaras de gás, unicamente pelo fato de terem seus dados pessoais revelados, seja em
razão da sua fé professada, de seu sobrenome, local de nascimento ou grupo étnico.
Em tempos passados, antigamente.
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 18
Figura 7 - Judeus húngaros na Judenrampe (rampa judaica) depois de desembarcar dos trens do Holocausto. Várias fontes acreditam
que o fotógrafo tenha sido Ernst Hoffmann ou Bernhard Walter
Fonte: Wikimedia Commons (2019).
Assim, no pós-guerra, com o surgimento das primeiras legislações nacionais, tratou-se logo de estabe�
lecer mecanismos de controle sobre o uso dos dados pessoais.
A retomada das negociações comerciais entre os países e a livre circulação de pessoas, com a cons�
tituição da União Europeia, também contribuíram decisivamente para o aprimoramento das leis de
proteção de dados.
Por outro lado, o incremento na capacidade de armazenamento de dados, aliado ao exponencial
desenvolvimento da velocidade de processamento das máquinas, abriram margem ao aumento
significativo nos volumes de dados pessoais tratados e, consequentemente, à necessidade de se criar
regras e limites para a proteção dos direitos dos titulares desses dados.
2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO
Na medida em que a sociedade criava e diversificava os diferentes meios de comunicação, as primeiras
leis visando preservar a privacidade das pessoas foram surgindo. Mas estamos falando de normas
esparsas, iniciativas isoladas em um país aqui e outro ali.
Quando olhamos para a legislação de proteção de dados de maneira sistêmica, estruturada, com leis
padronizadas e de aplicabilidade geral, o que percebemos é que isso só começou a ocorrer a partir do
momento em que intensificaram-se as relações de comércio internacional, capitaneadas pelas novas
facilidades tecnológicas. Diversas atividades de processamento de dados, que antes ficavam restritas
a uma determinada localização física, passaram a ser executadas em diferentes pontos do globo.
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 19
Alguns fatores permitiram que os mesmos processadores que operavam na Europa e nos Estados
Unidos (EUA), estivessem em uso, ao mesmo tempo, em países distantes como Índia ou China, sendo
que esses fatores são:
O aprimoramento das redes de telecomunicação,
A quebra de barreiras comerciais e
Os acordos de cooperação técnicos.
A tecnologia acompanhou o fenômeno mundial da globalização. E, na esfera do tratamento de dados,
não foi diferente. Os grandes data centers (Figura 8), antes centralizados no primeiro mundo, foram
deslocados para os mais diversos países. Soma-se a isso o incremento no volume mundial de transa�
ções on-line. É natural que houvesse a necessidade de se proteger os dados. Principalmente, os dados
pessoais, ante a sua exponencial valorização.
Figura 8 - Data center
Fonte: iStock (2019).
Assim, os países em que não existia qualquer lei de proteção de dados pessoais, passaram a ser pres�
sionados para se adequar a essa exigência, a fim de poder garantir a continuidade das transações de
compartilhamento e transferência internacional de dados, mantendo o mesmo nível de segurança
existente nos países mais avançados nessa cultura.
Se não fosse a globalização, desencadeada, principalmente, a partir da virada do milênio, muitas nações
ainda estariam na pré-história do nível de proteção de dados pessoais.
Data center, também conhecido como centro de processamento de dados, é o local em que
estão concentrados os servidores, equipamentos de processamento e armazenamento de
dados, além dos sistemas de ativos de rede (como switches e roteadores) de uma organização.
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 20
2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS
Um aspecto a ser destacado, quando falamos em proteção de dados pessoais como um sistema, é
que em sua essência, ele deriva, diretamente, dos padrões das chamadas normas de compliance.
Informação
A palavra compliance, vem do verbo em inglês to comply, que significa, em tradução livre, “fazer
cumprir”, ou seja, realizar aquilo que foi combinado, respeitar o que está acordado, respeitar a lei, agir
de acordo com um regulamento.
Figura 9 - Compliance
COMPLIANCE
REGULAMENTAÇÃO
GOVERNO
PADRONIZAÇÃO
REQUERIMENTOS
TRANSPARÊNCIA
POLÍTICAS
LEIS
REGRAS
Fonte: Senac SETED (2019).
Apesar de o termo ser conhecido há muito tempo, as iniciativas de compliance ganharam força a partir
dos grandes escândalos de corrupção ocorridos nos Estados Unidos, com a falência das gigantescas
companhias Enron e WorldCom, envolvendo ainda uma das principais empresas de auditoria do mundo.
Leis complexas surgiram para regulamentar as áreas de finanças e de contabilidade, como é o caso
da Lei Sarbanes  Oxley nos EUA. A auto-regulamentação ganhou força. Surgiram os programas de
integridade e ética empresarial.
A Lei Sarbanes  Oxley teve como “objetivos estabelecer sanções que coíbam procedimentos não
éticos e em desacordo com as boas práticas de governança corporativa por parte das empre�
sas atuando do mercado americano. O objetivo final é o de restabelecer o nível de confiança
nas informações geradas pelas empresas e, assim consolidar a teoria dos mercados eficientes que
norteia o funcionamento do mercado de títulos e valores mobiliários” (BORGERTH, 2005).
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 21
O mercado passou a ter um olhar diferenciado para as empresas que possuíssem a cultura de
compliance implementada e efetiva. As chamadas “leis de compliance” multiplicaram-se ao redor do
mundo, mantendo características semelhantes em sua formatação, tendo sempre como princípios:
	
Ÿ a boa-fé,
	
Ÿ a ética e
	
Ÿ a responsabilidade.
Foram previstas sanções pesadas aos infratores e atenuantes significativas, para aqueles que de�
monstrassem manter uma estrutura interna de integridade.
Quando analisamos as leis de proteção de dados pessoais, quanto à sua natureza e forma, nos
deparamos com as mesmas características. Não há a menor dúvida, de que se tratam de normas de
compliance, focadas em um ponto específico: proteção da privacidade.
Agora que você já entendeu um pouco mais sobre a legislação e as normas de compliance, vamos dar
uma volta ao mundo e verificar como diferentes países e continentes estão tratando a proteção de dados
da sua população?
2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO
Você sabia que, atualmente, vários países do mundo já consolidaram sua legislação de proteção de dados
pessoais?
Agora, observe como estava esse cenário em novembro de 2019.
Figura 10 - Mapa da Proteção de dados pessoais ao redor do mundo
País fortemente adequado (GDPR)
País adequado
País parcialmente adequado
Autoridade nacional e lei(s) de proteção de dados pessoais
Lei(s) de proteção de dados pessoais
Sem lei(s) específica(s) sobre o tema
Fonte: Commission Nationale de l’Informatique et des Libertés (2019).
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 22
Saiba mais
Ficou curioso(a) para saber como está esse mapa neste momento?
Que tal matar essa curiosidade!?! Para isso, clique aqui. Observe que no mapa deste link é possível
obter mais informações sobre a proteção de dados pessoais de cada país, clicando no mapa do
respectivo país. Essas informações, assim como a legenda do mapa, estão em inglês.
Europa Ásia
Estados Unidos África América Latina
Quando o assunto é a proteção de dados pessoais, os europeus sempre estiveram à frente. Confira,
na linha do tempo a seguir, como a evolução na proteção de dados ocorreu na Europa.
1970
A primeira lei específica sobre proteção de dados pessoais é publicada no Estado de Hesse,
na Alemanha. Trata-se do Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse).
1973
A Suécia publica a primeira lei nacional de proteção de dados, o Ato de Dados Sueco.
Nos anos seguintes, vários países da Europa vão pelo mesmo caminho.
1992
É criada a União Europeia.
1995
Entra em vigor a Diretiva 95/46/CE, tratando, especificamente, da proteção de dados pes�
soais para todos os países membros da União Europeia.
2016
A Diretiva 95/46/CE foi substituída pela GDPR - General Data Protection Regulation, que
entrou em vigor em 2018.
Você sabia que a GDPR serviu de base para a nossa Lei Geral de Proteção de Dados Pessoais?
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 23
Saiba mais
A GDPR é conhecida em Portugal como RGPD - Regulamento Geral
sobre a Proteção de Dados. Para conhecer essa legislação, clique aqui.
Você deve ter percebido que essa legislação apresenta um conjunto
de regras para as empresas ativas na União Europeia, que recolhem,
armazenam e utilizam dados pessoais. Para compreender alguns
aspectos importantes da GDPR, clique aqui.
Boa leitura!
Mas, e os EUA? Como será que esse país regulamenta o uso dos dados pessoais?
Estados Unidos Ásia
Europa África América Latina
Você sabia que os Estados Unidos adotam um modelo legislativo diferente do nosso?
Baseado na Common Law, os americanos dão preferência aos direitos dos usos e costumes às regras
escritas. Assim, procuram valorizar muito a jurisprudência, as decisões dos tribunais e evitam a proli�
feração de leis.
Mesmo assim, sendo o berço das maiores empresas de tecnologia do mundo, os Estados Unidos
também possuem algumas normas, que regulamentam o uso dos dados pessoais, sem, entretanto,
possuir uma legislação geral em vigor.
Nos EUA, a primeira norma nesse sentido foi o Privacy Act, de 1974. O objetivo dessa norma é equilibrar
a necessidade do governo de manter informações sobre os indivíduos com os direitos deles de serem
protegidos contra invasões injustificadas de sua privacidade, resultantes da coleta, manutenção, uso e
divulgação de informações pessoais (U.S. SMALL BUSINESS ADMINISTRATION, 2019).
Sistema de Direito cuja aplicação de normas e regras não estão
escritas, mas sancionadas pelo costume ou pela jurisprudência.
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 24
PRIVACY ACT
Necessidade do governo
de manter informações
sobre os indivíduos
Direito de proteção contra
invasões injustificadas
de privacidade
Fonte: Senac SETED (2019).
Depois seguiram-se outras normas, de forma setorizada e/ou localizada.
Vamos conhecê-las?
HIPPA
A Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade
do Seguro de Saúde) trata da proteção de dados na área da saúde.
COPPA
A Children’s Online Privacy Protection Act (Lei de Proteção à Privacidade On-line das Crianças)
trata da proteção de dados de crianças na Internet.
CCPA
A California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia) é conside�
rada, por muitos, mais rigorosa do que a própria GDPR europeia. Essa lei criou novos direitos
do consumidor, relacionados ao acesso, exclusão e compartilhamento de informações pes�
soais coletadas pelas empresas.
Atualmente, há uma grande pressão para que o Congresso Americano aprove uma lei geral de prote�
ção de dados pessoais, uniformizando as regras para todo o país.
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 25
Ásia
Estados Unidos
Europa África América Latina
Quando pensamos na proteção de dados pessoais nos países asiáticos, dois países nos chamam a
atenção:
	
Ÿ Japão: pois, quando se trata de conformidade, correção e cumprimento de normas, logo
nos vem à mente a tradicional disciplina japonesa. Por isso, é de se esperar que nesse país
exista algo sobre a proteção dos dados pessoais.
	
Ÿ China: devido a seu regime comunista e por sua população ultrapassar 1 bilhão de pessoas.
Agora, vamos conhecer como esses países tratam a proteção de dados pessoais?
Desde 2005, o Japão tem o chamado “Ato de Proteção de Dados Pessoais”, que regulamenta os inte�
resses dos indivíduos no processamento de seus dados por parte das empresas. Já na China, a Lei de
Cibersegurança oferece algum tipo de proteção de dados pessoais para os cidadãos.
Ásia
Estados Unidos
Europa África América Latina
Apesar da grande diversidade de etnias e culturas, das restrições econômicas e do instável ambiente
político, a África surpreende positivamente quando se fala de iniciativas legislativas para a proteção
de dados pessoais.
Agora, conheça alguns dos principais países africanos que já possuem legislação sobre privacidade de
dados:
Angola,
África do Sul,
Gana,
Costa do Marfim,
Senegal,
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 26
Marrocos,
Tunísia.
E ainda existem importantes iniciativas no sentido de uniformizar tais legislações, como é o caso:
	
Ÿ da Lei Modelo da SADC (Comunidade para o Desenvolvimento da África Austral) e
	
Ÿ das Diretrizes Relativas à Proteção de Dados Pessoais na África, elaborada pela Comissão
da União Africana, em conjunto com a Internet Society.
Ásia
Estados Unidos
Europa África América Latina
Na América Latina, quando se trata de proteção de dados pessoais, infelizmente nós, brasileiros,
estamos longe de exercer nossa condição de líderes naturais. Na verdade, somos um dos países mais
atrasados, no que diz respeito a esse tema.
Mas, como estão os outros países da América Latina?
Observe, na imagem a seguir, alguns países da América Latina que têm leis de proteção de dados pessoais.
PAÍSES QUE TÊM LEIS GERAIS DE PROTEÇÃO DE DADOS PESSOAIS, INCLUSIVE,
HOMOLOGADAS PELA UNIÃO EUROPEIA COMO EQUIVALENTES À GDPR
PAÍSES QUE POSSUEM LEIS PRÓPRIAS PARA TRATAR DOS DADOS PESSOAIS
Argentina
(2000)
Uruguai
(2009)
Chile Colômbia Peru México
Fonte: Senac SETED (2019).
2 - Evolução histórica da legislação de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 27
Agora é com você!
Agora, antes de prosseguir com seus estudos e compreender a proteção de dados pessoais no Brasil,
acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta.
Como vimos, diversos países ao redor do mundo já
adotam leis gerais de proteção de dados ou, no mínimo,
possuem alguma legislação esparsa que trate desse
assunto. Em geral, são leis, relativamente, recentes.
Mas, e como está o Brasil em relação a esse assunto?
Na sequência, veremos que o Brasil não fugiu à regra, embora estejamos consideravelmente atrasa�
dos quando o tema é a proteção de dados pessoais.
Caso você ainda não tenha conferido o texto oficial da LGPD na íntegra, que tal fazê-lo agora?
Para isso, clique aqui. Lembre-se de que conhecer essa lei, em sua íntegra, é importante para uma
melhor compreensão deste curso. Boa leitura!
EUROPA
PROTEÇÃO DE DADOS PESSOAIS
LEGISLAÇÃO
COMPLIANCE
GLOBALIZAÇÃO
AMÉRICA LATINA
ÁFRICA
ÁSIA
EUA
GDPR
Lei Geral de Proteção de Dados Pessoais (LGPD)	 28
3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Historicamente, a legislação brasileira adotou o modelo positivista do Direito, denominado de Civil
Law, das escolas lusitanas, alemãs e italianas, que privilegiam o direito escrito, em contraponto ao
Direito Consuetudinário, o chamado Common Law, baseado nos usos e costumes, adotado pelos
países da comunidade britânica e pelos EUA. Tal tradição, reflete-se em uma natural demora para a
concretização de todo o processo legislativo, que vai desde a ideia inicial, à criação do projeto de lei,
que passa pela necessidade de aprovação bicameral e, posteriormente, pela sanção presidencial, para
finalmente, passar a vigorar com força coercitiva. Agora, visualize de forma gráfica como isso ocorre.
Ideia
inicial
Criação do
projeto de lei
Aprovação
bicameral
Sanção
presidencial
Publicação
da lei
Desse modo, e sem ponderar sobre questões políticas ou interesses partidários, que constantemente
se sobrepõem ao desejo da população, nosso país é reconhecido por uma certa lentidão, quando se
trata de regulamentar questões culturais e comportamentais como é o caso das leis que versam sobre
a proteção de dados pessoais.
Nossas primeiras (e tímidas) tratativas, remontam a poucos e esparsos artigos, os quais abordavam o
direito à proteção de dados pessoais de forma rasa e genérica como veremos logo adiante.
A evolução, nesse sentido, só ocorreu de fato a partir da pressão internacional para que adotássemos
mecanismos de proteção de dados pessoais equivalentes aos dos países do bloco europeu, culminando
na promulgação da LGPD – Lei Geral de Proteção de Dados Pessoais.
Mas, antes de compreender melhor a LGPD, prossiga com seus estudos e conheça como a Constituição
Federal, de 1988, deu os primeiros passos em termos de uma legislação para a proteção de dados pessoais.
3.1 OS PRIMEIROS PASSOS
Em termos de legislação específica para a proteção de dados pessoais, mesmo que em nível setorial, o
Brasil demorou muito tempo para realizar as primeiras iniciativas, sendo que elas ocorreram, somente,
com a promulgação da Constituição Federal de 1988.
É o instrumento que declara a existência da lei e ordena sua execução. Emendas constitucionais são pro�
mulgadas pelas Mesas da Câmara e do Senado, em sessão solene do Congresso. A promulgação das leis
complementares e ordinárias é feita pelo presidente da República e ocorre simultaneamente com a sanção.
3 - A proteção de dados pessoais no Brasil
Lei Geral de Proteção de Dados Pessoais (LGPD)	 29
CONSTITUIÇÃO FEDERAL DE 1988
O seu Art. 5º trata dos direitos e
garantias fundamentais do cidadão.
Apresenta alguns dispositivos que fazem
menção a questões relacionadas à
privacidade e inviolabilidade dos dados.
CONSTITUIÇÃO
1988
Fonte: Senac SETED (2019).
Agora, que tal conhecer como esse artigo da Constituição Federal trata essas questões relacionadas à
privacidade e inviolabilidade dos dados (grifos nossos)?
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos
brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade,
à igualdade, à segurança e à propriedade, nos termos seguintes:
[...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas
são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação;
[...]
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das
é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das
comunicações telefônicas
comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma
que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
A propósito, o inciso XII foi regulamentado, posteriormente, em 1996, pela Lei nº 9.296, que trata
sobre a interceptação das comunicações telefônicas.
E o Código de Defesa do Consumidor? Será que ele trata sobre algum aspecto relacionado à proteção
de dados pessoais?
3 - A proteção de dados pessoais no Brasil
Lei Geral de Proteção de Dados Pessoais (LGPD)	 30
3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR
Promulgado pela Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor (CDC)
estabeleceu em seu Art. 43:
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações
existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele,
bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em
linguagem de fácil compreensão, não podendo conter informações negativas referentes a
período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada
por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá
exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a
alteração aos eventuais destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito
e congêneres
congêneres1
são considerados entidades de caráter público.
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas,
pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir
ou dificultar novo acesso ao crédito junto aos fornecedores.
§ 6º Todas as informações de que trata o caput
caput2
deste artigo devem ser disponibilizadas
em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do
consumidor.
1 
Que apresentam a mesma natureza ou caráter semelhante.
2 
Termo que designa o enunciado de um artigo de lei, com incisos, alíneas e/ou parágrafos.
Assim, como você pôde compreender pela leitura do artigo, pela primeira vez na legislação brasileira,
concedeu-se a garantia de acesso aos dados do titular, exigindo-se, ainda, clareza e objetividade das
informações. Outro direito que foi previsto pelo CDC, diz respeito à possibilidade de o consumidor
exigir a correção de seus dados cadastrais.
Vale lembrar, que, embora as previsões apresentadas no Art. 43 do CDC, tenham oferecido algum
avanço em termos de proteção de dados pessoais, sua abrangência é limitada, em função de tal ins�
trumento ser aplicável somente às relações de consumo.
3 - A proteção de dados pessoais no Brasil
Lei Geral de Proteção de Dados Pessoais (LGPD)	 31
Ou seja, o alcance da proteção fica relacionado à existência de um fornecedor de um lado e de um
consumidor de outro, no âmbito dos conceitos legais estabelecidos nos Art. 2º e 3º do Código de
Defesa do Consumidor.
Você, provavelmente, já ouviu falar sobre o Marco Civil da Internet. Talvez, até já tenha lido sobre ele.
Mas, você sabe como ele trata proteção de dados pessoais? Que tal descobrir?
3.3 O MARCO CIVIL DA INTERNET
A Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabeleceu uma série
de princípios e garantias, direitos e deveres para o uso da Internet no Brasil.
O Marco Civil da Internet, além de garantir a privacidade e proteção de dados pessoais, assegura a
disponibilização desses dados mediante ordem judicial (Figura 11).
Figura 11 - Marco civil e proteção de dados pessoais
MANDADO
JUDICIAL
Fonte: Adaptada do Tribunal de Justiça do Distrito Federal e dos Territórios (2015).
Apesar de ter inserido, em seus princípios, a proteção de dados pessoais (Art. 3º, inciso III), o Marco
Civil da Internet foi muito tímido ao tratar dessa questão.
Segundo o CDC, “fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como
os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação,
importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços”.
Consumidor, de acordo com o CDC, “é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como
destinatário final”.
3 - A proteção de dados pessoais no Brasil
Lei Geral de Proteção de Dados Pessoais (LGPD)	 32
Os incisos I a III e VII a X do Art. 7º, dessa legislação, abordam os direitos dos titulares de dados pessoais:
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados
os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano
material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem
judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem
judicial;
[...]
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de
acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou
nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção
de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de
aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais,
que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de
internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses
de guarda obrigatória de registros previstas nesta Lei;
Além disso, em sua Seção II, nos Artigos 10 a 12, o Marco Civil tratou de alguns aspectos da respon�
sabilidade de proteção dos dados pessoais pelos provedores de acesso e nas operações realizadas
através da Internet, prevendo algumas sanções.
Perceba que isso é muito pouco, considerando a diversidade e a quantidade de transações de dados
pessoais que são realizadas todos os dias em nosso país. Precisávamos, sem dúvida, de uma legislação
mais robusta.
3.4 FINALMENTE, UMA LEI GERAL!
Finalmente, em 2018, o Projeto de Lei da Câmara dos Deputados nº 53, de 2018, que substituiu outros
três projetos do Senado Federal, os quais tramitavam desde 2013, foi aprovado e transformou-se na Lei
nº 13.709, de 14 de agosto de 2018, a nossa Lei Geral de Proteção de Dados Pessoais, a chamada LGPD.
Transitavam pelos trâmites legais, passando por cada uma
das etapas e diligências indicadas na Constituição Federal.
3 - A proteção de dados pessoais no Brasil
Lei Geral de Proteção de Dados Pessoais (LGPD)	 33
Figura 12 - LGPD
LGPD
Fonte: Senac SETED (2019).
Moderna, complexa e imponente, a Lei Geral de Proteção de Dados Pessoais teve forte inspiração na
GDPR, o regulamento europeu de proteção de dados, sem, porém, descer às minúcias deste.
Agora é com você!
Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda
proposta sobre a proteção de dados pessoais no Brasil.
Ao estudarmos o histórico legislativo da proteção de
dados no Brasil, podemos perceber que não possuíamos,
até pouco tempo atrás, qualquer tipo de preocupação com os
dados pessoais, refletindo na nossa quase inexistente cultura
de proteção de dados. Somos um povo liberal, comunicativo
e de certa forma, avesso a amarras e proibições.
Com o passar do tempo, foi necessário adequarmos nossa mentalidade e aceitar as regras do jogo
em um cenário mundial muito mais interativo, culminando na adoção de uma Lei Geral de Proteção
de Dados Pessoais, a LGPD.
No próximo tópico, você conhecerá os principais conceitos e características da LGPD, que tanto afetou
o cotidiano das empresas e de seu relacionamento com pessoas físicas, sob todos os ângulos.
Detalhes, pormenores.
PRIVACIDADE
MARCO CIVIL DA INTERNET
LEGISLAÇÃO
CONSUMIDOR
FORNECEDOR
PROVEDORES
CONSENTIMENTO
INVIOLABILIDADE
DADOS PESSOAIS
CONSTITUIÇÃO FEDERAL
CDC
SIGILO
PROTEÇÃO
CADASTRO
LGPD
Lei Geral de Proteção de Dados Pessoais (LGPD)	 34
4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE
PROTEÇÃO DE DADOS PESSOAIS
Agora que você já compreendeu a importância dos dados pessoais e o motivo pelo qual surgiram as
legislações que tratam dessa matéria, é chegada a hora de conhecer a LGPD - a Lei Geral de Proteção
de Dados Pessoais do Brasil.
Agosto de 2018
Promulgada em 14 de agosto de 2018, pelo então presidente Michel Temer, a LGPD trata-se
da Lei nº 13.709, fruto do Projeto de Lei da Câmara nº 53, de 2018. Porém, na ocasião, o
presidente Temer, preocupado com a falta de recursos para a criação da Autoridade
Nacional de Proteção de Dados (ANPD), vetou todo o Capítulo IX da lei, que tratava da criação
e da constituição do órgão. Como consequência, a LGPD, correria o risco de tornar-se “letra
morta”, uma vez que não haveria nenhum órgão de controle no governo federal, com a res�
ponsabilidade de orientar, fiscalizar e punir as entidades, no âmbito da aplicação da lei.
Dezembro de 2018
No entanto, no apagar das luzes de seu governo e diante da enorme pressão recebida
pelos organismos internacionais de proteção de dados, o ex-presidente Temer publicou,
em 28 de dezembro de 2018, a Medida Provisória (MP) 869, recriando a ANPD.
Julho de 2019
Durante o transcorrer do processo legislativo no Congresso Nacional, a MP 869 recebeu
176 emendas, sofrendo algumas modificações, tendo sido finalmente aprovada. Em julho
de 2019, foi convertida na Lei nº 13.853, que alterou alguns artigos da LGPD. Após análise
por parte da Presidência da República, a Lei nº 13.853 foi promulgada, com nove vetos do
presidente Jair Bolsonaro.
Setembro de 2019
O Congresso Nacional votou e derrubou parte desses vetos do presidente Bolsonaro,
encerrando a fase legislativa.
Abril de 2020
O Presidente Bolsonaro publicou a Medida Provisória nº 959/2020, devido à COVID-19,
estabelecendo regras para o auxílio emergencial e fazendo o adiamento da vigência da
LGPD, que entraria em vigor no dia 14 de agosto de 2020, para maio de 2021.
Junho de 2020
Publicação da Lei nº 14.010/2020, postergando as sanções e punições da LGPD para agosto
de 2021.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 35
Agosto de 2020
A Lei nº 13.853/2019 criou a ANPD – Autoridade Nacional de Proteção de Dados, dentre as
suas diversas competências, deverá interpretar, defender, aplicar sanções e multas, bem
como orientar a respeito da LGPD. Contudo, ainda faltava a sua estruturação, situação re�
solvida com a publicação do Decreto n° 10.474, de 26 de agosto de 2020.
Setembro de 2020
O Presidente Bolsonaro sancionou a Lei nº 14.058/2020, referente a MP nº 959/2020, e re�
tira o Artigo 4° que adiava a entrada em vigor da LGPD. Com a exclusão do referido artigo,
a Lei nº 13.709/2019 entra em vigor na íntegra a partir de 18 de setembro de 2020, exceto
na aplicação das multas previstas nos Artigos 52 a 54, que passarão a vigorar a partir de 01
de agosto de 2021, conforme dispõe o Artigo 65 inciso I-A da referida Lei.
A partir de 18 de setembro 2020, as empresas devem estar adequadas para a LGPD, mesmo que a apli�
cação das sanções administrativas sejam aplicadas pela ANPD, a partir de agosto de 2021. O judiciário
poderá utilizar outras normativas, como o Código de Defesa do Consumidor, para impor punições, na
ocorrência de denúncias por parte da pessoa natural, ou Ministério Público.
Figura 13 - Lei Geral de Proteção de Dados Pessoais
LGPD
18 SET
2020
Dados
Proteção
Criação
da ANPD
entrou em
vigor em
28 DEZ 2018
Estuturação
da ANPD
26 AGO 2020
Fonte: Adaptada de iStock (2019).
Apesar da aparente confusão legislativa, a LGPD é uma lei muito bem elaborada e que foi amplamente
discutida com a sociedade civil, através de diversas audiências públicas, nas quais várias entidades
tiveram oportunidade de se manifestar e fazer sugestões ao texto legal.
Você sabia que em sua essência, a LGPD é muito semelhante à GDPR (General Data Protection
Regulation, da União Europeia), criada em 2016 e que entrou em vigor em 2018?
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 36
Agora, compreenda as diferenças entre essas duas legislações de proteção de dados pessoais.
General Data Protection Regulation
Essa lei vai à miúde, procurando esgotar todo o assunto e esclarecer detalhes de sua
sistemática.
Lei Geral de Proteção de Dados Pessoais
É uma lei mais concisa que a GDPR, atribuindo à ANPD o dever de regulamentá-la e expedir
normas complementares, a fim de garantir a compreensão e a aplicabilidade da lei.
Apesar de já termos preocupações suficientes com o que já consta do texto legal da LGPD, muito ainda
estará por vir, com a normatização a ser estabelecida pela ANPD. Por ora, convém estudarmos a LGPD
na sua integralidade, o que faremos a seguir.
4.1 OBJETIVOS
A Lei Geral de Proteção de Dados Pessoais apresenta alguns objetivos. Para conhecê-los, observe a
imagem a seguir.
OBJETIVOS DA LEI GERAL DE PROTEÇÃO
PROTEGER OS DIREITOS
FUNDAMENTAIS
Dispor sobre o tratamento de
dados pessoais para proteger os
direitos fundamentais de liberdade,
privacidade e o livre desenvolvimento
da personalidade.
DESENVOLVIMENTO
DA PERSONALIDADE
As decisões tomadas pelos indivíduos são
baseadas nas informações que recebemos.
E temos o direito de receber informações
adequadas e oportunas, sem qualquer viés
ou influência oculta. E para evitar
manipulações, é fundamental proteger a
exposição de nossos dados pessoais.
LIBERDADE
Em seus fundamentos, a LGPD
destina-se a garantir ao titular dos
dados pessoais uma série de direitos
de escolha, exercendo, assim, a livre
manifestação da sua vontade.
PRIVACIDADE
Os dados pessoais formam um conjunto de
bens que pertencem ao titular e, conforme
garantia constitucional, somente a ele cabe
autorizar revelá-los ou distribui-los,
preservando, assim, o sigilo de tais
informações. Esse não é um direito
absoluto, pois comporta exceções, desde
que previstas em lei ou em regulamento.
Fonte: Senac SETED (2019).
Em função disso é que foi adotada uma “Lei Geral”, válida em todo o país e cuja matéria, por ser de
interesse nacional, será de competência exclusiva do legislativo federal.
4.2 FUNDAMENTOS
O artigo 2º da LGPD apresenta os fundamentos que serviram de base para a elaboração da lei, e que
devem ser visitados para sua correta interpretação:
LGPD
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 37
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício
da cidadania pelas pessoas naturais.
Figura 14 - Fundamentos da LGPD
FUNDAMENTOS DA
LGPD
CIDADANIA
E DIGNIDADE
PRIVACIDADE
E INTIMIDADE
LIBERDADE
AUTODETERMINAÇÃO
INFORMATIVA
CONCORRÊNCIA E DEFESA
DO CONSUMIDOR
INOVAÇÃO E
DESENVOLVIMENTO
Fonte: Senac SETED (2019).
Observe que, na essência, a fundamentação que norteia a criação da legislação de proteção de dados
pessoais está muito vinculada à afirmação de direitos dos titulares dos dados, bem como à preservação
da transparência e da boa-fé nas relações negociais.
4.3 APLICABILIDADE
A LGPD deve ser observada por pessoas físicas ou jurídicas, públicas ou privadas.
Mas, você sabe quais são os critérios de aplicabilidade dessa lei?
A LGPD tem como critérios de aplicabilidade a proteção de dados pessoais cujas operações de
tratamento estejam sendo realizadas no território nacional. Também é aplicada quando a atividade
de tratamento dos dados tenha por objetivo a oferta de bens ou de serviços à pessoa localizada em
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 38
território nacional, ou que o tratamento de dados realizado, seja de indivíduos localizados no território
nacional, independentemente de sua nacionalidade. É aplicada ainda, quando mesmo que os dados
estejam localizados fora do Brasil, tenham sido aqui coletados.
Talvez mais importante ainda, seja saber em que condições não é aplicada a LGPD, conforme preceitua
o Art. 4º da LGPD, que tentaremos simplificar aqui.
Não se aplica a LGPD, quando o tratamento de dados pessoais for realizado:
Por pessoa natural para fins, exclusivamente, particulares e não econômicos.
Para fins jornalísticos ou artísticos.
Para fins acadêmicos, desde que observadas as bases legais.
Para fins exclusivos da segurança pública, defesa nacional ou segurança do Estado.
Para atividades de investigação e repressão de crimes.
Em função de dados provenientes de países que não tenham leis aderentes ao sistema de
proteção de dados pessoais, no mesmo grau conferido pela lei brasileira e que não sejam
compartilhados com agentes de tratamento brasileiros.
4.4 PRINCIPAIS CONCEITOS
Para melhor compreensão da LGPD, é importante que você assimile alguns termos e conceitos que
são empregados ao longo de todo o texto legal.
Vamos conhecê-los?
Titular
Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento.
Tratamento
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processa�
mento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Agentes de Tratamento
O controlador e o operador.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 39
Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.
Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador.
Encarregado
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entreocontrolador,ostitularesdosdadoseaAutoridadeNacionaldeProteçãodeDados(ANPD).
Autoridade Nacional
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumpri�
mento desta Lei em todo o território nacional.
Consentimento
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento
de seus dados pessoais para uma finalidade determinada.
4.5 PRINCÍPIOS A SEREM OBSERVADOS
A LGPD estabelece, em seu Art. 6º, alguns princípios norteadores, os quais devem ser utilizados nas
situações em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa.
Vamos conhecê-los?
Finalidade
Propósitos legítimos, específicos, explícitos e informados ao titular.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular.
Livre Acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma, duração e integridade
do tratamento.
Qualidade dos Dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados.
Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 40
Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas.
Prevenção
Adoção de medidas para prevenir a ocorrência de danos.
Não Discriminação
Impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e Prestação de Contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais.
Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de
tratamento de dados pessoais, conforme estabelece o Art. 6º da Lei Geral de Proteção de Dados.
Mas, você sabe quando é permitido realizar o tratamento de dados pessoais?
4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
A Lei nº 13.709 estabelece, em seu Art. 7º, dez hipóteses em que é permitido realizar o tratamento de
dados pessoais.
Vamos conhecê-las?
Consentimento do titular
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada. Esse consentimento deve ser dado por escrito ou por qualquer
outro meio que demonstre a manifestação da vontade do titular, através de cláusulas destacadas.
Importante
O controlador deve provar que o consentimento foi dado pelo titular, para finalidades determinadas.
Uma das restrições em se utilizar o consentimento como base legal, é que ele poderá ser revogado a
qualquer momento, de forma fácil e gratuita. Isso poderá inviabilizar completamente a continuidade
do tratamento dos dados.
LGPD
LGPD
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 41
Cumprimento de obrigação legal ou regulatória pelo controlador
Significa que, mesmo sem o consentimento do titular, o controlador deve guardar dados pessoais,
processá-los, transmiti-los ou compartilhá-los, por força de lei ou de algum regulamento normativo.
Dentre esses dados estão:
	
Ÿ dados pessoais constantes em documentos fiscais, por exigência da legislação tributária/fiscal;
	
Ÿ dados referentes aos empregados, por conta das leis trabalhistas;
	
Ÿ dados a serem armazenados por determinado período, por conta de normas setoriais.
Pela administração pública, para a execução de suas finalidades
Hipótese em que o tratamento de dados pessoais, pela administração pública, se justifica, para possi�
bilitar a execução de políticas promovidas pelo setor público.
Observe na imagem a seguir, alguns exemplos dessa hipótese.
EXEMPLOS DA HIPÓTESE “PELA ADMINISTRAÇÃO PÚBLICA,
PARA A EXECUÇÃO DE SUAS FINALIDADES”
BENEFÍCIOS
ASSISTENCIAIS
Bolsa Família,
financiamentos
habitacionais
SEGURANÇA
Registros criminais e
prisionais, ressocialização
do apenado
ÁREA DA EDUCAÇÃO
Para a destinação
de verbas e execução
de diretrizes
ÁREA DA SAÚDE
Relacionada ao
SUS - Sistema
Único de Saúde
Fonte: Senac SETED (2019).
Estudos por órgão de pesquisa (anonimização, sempre que possível)
Ocorre quando um órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica
de direito privado sem fins lucrativos realiza pesquisas de caráter histórico, científico, tecnológico ou
estatístico.
Que estão registrados.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 42
Para execução de contrato ou de procedimentos
preliminares a este, quando solicitado pelo titular
Ocorre quando o tratamento de dados pessoais é indispensável para o cumprimento dos próprios
objetivos do contrato firmado ou para o envio de propostas, elaboração de minutas e outros entendi�
mentos ou negociações prévias.
Agora, observe alguns exemplos dessa hipótese.
EXEMPLOS DA HIPÓTESE “PARA EXECUÇÃO DE CONTRATO OU DE
PROCEDIMENTOS PRELIMINARES A ESTE, QUANDO SOLICITADO PELO TITULAR”
Contratos de
trabalho
Minutas de
negociação de
preços e condições
Contratos com
operadoras
de saúde
Contratos de execução
diferida (operadora de
telefonia, água, luz,
televisão a cabo)
Contratos de
financiamento
bancário
Fonte: Senac SETED (2019).
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Esta hipótese apresenta as situações em que o tratamento de dados pessoais se legitima para fins de
operacionalização e execução de processos.
Vamos conhecer exemplos dessa hipótese?
EXEMPLOS DA HIPÓTESE “EXERCÍCIO REGULAR DE DIREITOS
EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL”
Processo arbitral
referente a desacordo
comercial
Processo
administrativo para
suspensão de multas
Processo judicial
de reconhecimento
de paternidade
Processo judicial de
reparação de danos
causados em
acidentes de veículos
Fonte: Senac SETED (2019).
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 43
Proteção da vida ou da incolumidade física do titular ou de terceiros
Essa hipótese permite o tratamento de dados do titular ou de terceiros, em situações em que estes
estejam expostos a riscos, perigo de morte ou suscetíveis a causar-lhes danos físicos graves.
Agora, que tal conhecer exemplos dessa hipótese?
EXEMPLOS DA HIPÓTESE “PROTEÇÃO DA VIDA
OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIROS”
Sinal de
georreferenciamento para
localização de suspeitos
de crimes graves
Identificação de suspeito de
espalhar doença contagiosa
grave/ epidemia
Situações de perigo
extremo, tentativas de
assassinato, agressões
Fonte: Senac SETED (2019).
Tutela da saúde, exclusivamente em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária
Entende-se por tutela da saúde, os cuidados a serem empregados visando proteger, preservar ou
reestabelecer a saúde dos agentes sujeitos de direito.
Os procedimentos realizados por profissionais de saúde têm interpretação extensiva, mas pode-se
adotar, por padrão, aqueles descritos no Rol de Procedimentos e Eventos em Saúde - 2018, da Agência
Nacional de Saúde Suplementar (ANS).
Atendimento aos interesses legítimos do controlador ou de terceiros
É um critério bastante subjetivo, em que há a possibilidade de se tratar dados pessoais, desde que
não se contraponham aos direitos e liberdades fundamentais do titular e sejam somente os dados,
estritamente, necessários e relacionados com as atividades praticadas pelo controlador dos dados.
Um exemplo clássico é o envio de publicidade/oferta de serviços aos clientes. Essa hipótese não se
aplica aos dados pessoais sensíveis!
Condição de estar livre de perigo ou dano; que está em segurança.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 44
Recapitulando
Lembre-se de que dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural.
Proteção do crédito
Dispensa o consentimento do titular de dados pessoais em situações em que a coleta é realizada para
pesquisa e análise de riscos relacionados à concessão de crédito.
Esse é o caso dos scores de crédito para financiamentos bancários ou para identificação da situação
de inadimplência junto ao SERASA/SPC.
Atenção
Toda vez que for necessário fornecer uma justificativa de uso de um determinado dado pessoal
dentro da empresa, essa justificativa deverá se enquadrar em uma dessas dez situações. Do contrário,
o tratamento dos dados será considerado indevido ou ilegal, abrindo margem à responsabilização
tanto por parte do controlador quanto por parte do operador dos dados.
4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS
Sendo a LGPD uma lei para a proteção de dados pessoais, um de seus pontos mais impactantes é o
estabelecimento dos direitos do titular, previstos em seus Artigos 17 e 18.
Além da garantia da titularidade dos dados, ou seja, a pessoa física que forneceu o dado é proprie�
tária dele, a lei também estabelece que, mediante requisição, o titular poderá solicitar ao controlador
dos dados algumas informações. Para conhecê-las, observe a imagem a seguir.
Score de crédito: É o resultado dos hábitos de pagamento
e relacionamento do cidadão com o mercado de crédito.
SPC: Serviço de Proteção ao Crédito.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 45
DIREITOS DOS TITULARES NA LGPD
Confirmação da
existência de
tratamento
Acesso aos
dados
Correção de dados
incompletos, inexatos
ou desatualizados
Anonimização, bloqueio
ou eliminação de dados
desnecessários, excessivos
ou tratados em desconformidade
com a LGPD
Portabilidade dos
dados a outro
fornecedor
Eliminação dos dados
pessoais tratados com o
consentimento do titular
Informação das entidades
públicas e privadas com
as quais o controlador
realizou uso
compartilhado de dados
Revogação do
consentimento
Fonte: Senac SETED (2019).
Como se pôde ver, trata-se de uma mudança significativa no relacionamento entre o titular e o con�
trolador do dado.
É bem verdade que muitos dos direitos previstos nessa lei, ainda precisarão ser regulamentados pela
ANPD. Questões como a forma de requisição e os prazos para respostas ainda precisarão de normas
complementares para sua melhor aplicabilidade. Mas, não há como negar que para os titulares de
dados, os avanços são significativos. Já para as empresas, resta a necessidade de rápida adequação, o
que é um “belo diferencial competitivo”.
4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO
Nos tratamentos de dados do poder público, a LGPD procurou, principalmente, preservar algumas leis
anteriores, no que diz respeito à transparência e ao direito à informação.
De tal sorte que, embora no conjunto da LGPD, as obrigações de empresas públicas e privadas sejam
bastante semelhantes, existem pequenos pontos em que a ANPD ainda terá que fornecer explicações
como é caso de aplicação de uma multa a um órgão do próprio governo.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 46
4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS
A LGPD destinou todo o seu capítulo V para tratar da transferência internacional de dados.
No Art. 33, já encontramos o princípio da reciprocidade:
Art. 33 - A transferência internacional de dados pessoais somente é permitida nos seguintes
casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto nesta Lei;
Ou seja, para que possamos enviar dados para fora do país, é obrigatório que o país de destino possa
oferecer semelhante grau de proteção ao conferido pela lei brasileira.
Além disso, a LGPD apresenta algumas situações em que é permitida a transferência de dados como:
	
Ÿ na adoção de cláusulas padrões contratuais e
	
Ÿ na adoção de normas públicas globais.
4.10 AGENTES DE TRATAMENTO
Quando mencionamos os agentes de tratamento de dados, estamos nos referindo sempre a dois
quadros:
Controlador de Dados
Aquele que irá tomar a decisão com base nos dados tratados. Pode ser tanto uma pessoa
física quanto jurídica.
Operador de Dados
É a pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do
controlador.
Nesse aspecto, é importante refletir que a responsabilidade civil sobre incidentes de vazamentos de
dados, independentemente de onde o fato tenha ocorrido (no operador ou no controlador), será de
ambos os agentes, que responderão, solidariamente, por eventuais indenizações.
4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)
A LGPD prevê, em seu Art. 41, para toda empresa controladora de dados, a obrigatoriedade da nome�
ação de um encarregado pelo tratamento de dados pessoais.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 47
Também conhecido como DPO – Data Protection Officer, nomenclatura advinda da GDPR europeia,
o encarregado de dados pode ser uma pessoa física ou jurídica, a qual deve ter sua identidade e in�
formações de contato divulgadas publicamente, de preferência, através do site da empresa. Ele atua
como um canal de comunicação da empresa, interagindo com os titulares de dados e com a ANPD.
Entre suas atribuições legais, estão importantes atividades.
Vamos conhecê-las?
ATIVIDADES DO ENCARREGADO
PELO TRATAMENTO DE DADOS PESSOAIS
Executar as demais
atribuições determinadas
pelo controlador ou
estabelecidas em normas
complementares
Orientar os funcionários e
os contratados da entidade
a respeito das práticas a
serem tomadas em relação
à proteção de dados
pessoais
Analisar
reclamações e
comunicações dos
titulares, prestar
esclarecimentos e
adotar providências
Receber
comunicações da
autoridade nacional e
adotar providências
Fonte: Senac SETED (2019).
A ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarre�
gado, hipóteses de dispensa de sua indicação, conforme a natureza da empresa, porte ou volume de
operações de tratamento de dados pessoais.
4.12 SEGURANÇA E BOAS PRÁTICAS
A LGPD, como uma boa norma de conformidade, dedicou todo o seu Capítulo VII para tratar da questão
da segurança e das boas práticas no tratamento dos dados pessoais.
Em seu Art. 46, a lei determina que os agentes de tratamento devem adotar medidas de segurança, téc�
nicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
Você sabia que a ANPD poderá dispor sobre os padrões técnicos mínimos a serem adotados?
As medidas protetivas devem ser consideradas desde a concepção do produto e/ou serviço até sua
execução (princípios do privacy by design/privacy by default).
Privacy by Design é uma metodologia em que a proteção de dados pessoais é pensada desde a concepção de sistemas,
práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
O Privacy by Default é uma decorrência do Privacy by Design. Em outras palavras, trata-se da ideia de que o produto
ou serviço seja lançado e recebido pelo usuário com todas as salvaguardas que foram concebidas durante o seu
desenvolvimento. Ou seja, todas as medidas para proteger a privacidade que foram idealizadas, desde o início do
desenvolvimento do projeto, atendendo o princípio do Privacy by Design.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 48
Atenção
A manutenção das medidas de segurança deverá prosseguir mesmo após o término do tratamento
de dados.
Os incidentes de segurança relevantes deverão ser comunicados à ANPD, em prazo razoável (a ser
definido pela ANPD) e deverão mencionar, no mínimo:
A natureza dos dados pessoais afetados.
Informações sobre os titulares envolvidos.
Medidas técnicas e de segurança utilizadas.
Riscos relacionados ao incidente.
Motivos da demora, caso a comunicação não seja imediata.
Medidas adotadas para reverter ou mitigar os prejuízos.
A ANPD poderá exigir providências do controlador como:
	
Ÿ divulgar os fatos nos meios de comunicação (publicização) e
	
Ÿ adotar medidas para reverter ou mitigar os efeitos do incidente.
Na avaliação da gravidade, a ANPD irá levar em conta a comprovação de medidas técnicas adequadas
à proteção de dados (considerados os limites técnicos dos serviços).
Importante
Os sistemas utilizados no tratamento de dados pessoais devem atender aos princípios, requisitos de
segurança e padrões de boas práticas e de governança previstos na lei e normas regulamentares.
Divulgação; ação de fazer com que algo se torne público; realizar publicidade.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 49
4.13 FISCALIZAÇÃO E PENALIDADES
Como toda lei que visa proteger e preservar algum bem, ela só terá efeito prático e garantia de funcio�
namento, se possuir força coercitiva, sob a ameaça de aplicações de sanções.
Informação
A fiscalização do cumprimento da LGPD cabe à Autoridade Nacional, que se incumbirá de autuar,
multar e conduzir os processos na esfera administrativa.
Nada impede, porém, que outros órgãos do governo promovam o cumprimento da lei, nas esferas de
suas competências, como é o caso do Ministério Público e dos PROCONs, que já vêm atuando nesse
sentido, antes mesmo da entrada em vigor da lei.
• Advertência e prazo para
adoção de medidas corretivas.
• Publicização da infração.
• Proibição parcial ou total
do exercício de atividades
relacionadas a tratamento
de dados.
• Bloqueio dos dados pessoais.
• Eliminação dos dados pessoais.
• Suspensão parcial do
banco de dados por 6 meses,
prorrogáveis por igual
período, até a regularização
da atividade.
• Suspensão do exercício da atividade
de tratamento de dados pessoais por
6 meses, prorrogável por igual período.
• Multa simples, de até 2%
(dois por cento) do faturamento,
limitada a R$ 50.000.000,00 por
infração.
• Multa diária.
SANÇÕES
PREVISTAS NA
LGPD NO ÂMBITO
DA ANPD
É importante destacar que a chamada “publicização da infração”, significa dizer que o controlador
deverá informar aos titulares dos dados e à ANPD, caso ocorra algum incidente de segurança que
resulte em risco ou dano relevante para os titulares, devendo ainda divulgá-lo perante os meios de
comunicação, informando as condições em que ocorreu, tais como:
Quando aconteceu o incidente?
Quais dados pessoais foram prejudicados?
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 50
Quem foram os titulares afetados?
Qual o volume de dados atingido?
Quais as medidas mitigatórias adotadas para reverter/fazer cessar o dano imposto aos
titulares?
Já para a aplicação das penalidades, são levados em conta os seguintes fatores:
	
Ÿ gravidade e a natureza das infrações,
	
Ÿ boa-fé do infrator,
	
Ÿ vantagem do infrator,
	
Ÿ condição econômica do infrator,
	
Ÿ reincidência,
	
Ÿ grau do dano,
	
Ÿ cooperação do infrator,
	
Ÿ existência de mecanismos e procedimentos internos capazes de minimizar o dano,
	
Ÿ existência de política de boas práticas e governança,
	
Ÿ pronta adoção de medidas corretivas,
	
Ÿ proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Atenção
Isso significa que as empresas públicas e privadas devem estar adequadas ao cumprimento da lei, a
partir de 18 de setembro de 2020, estando suscetível a aplicação de sansões e penalidades por outros
órgãos, como de defesa do consumidor e Ministério Público, e a partir de agosto de 2021, pela ANPD.
4.14 ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Como já mencionamos, a ANPD é o órgão da administração pública responsável por zelar, implementar
e fiscalizar o cumprimento da LGPD em todo o território nacional.
Ela possui várias atribuições previstas na LGPD, podendo expedir normas regulatórias complementares à lei.
O Art. 55-A, parágrafo primeiro, da LGPD descreve a ANPD como de natureza jurídica transitória, que
poderá ser transformada em Autarquia vinculada a Presidência da República. A sua estrutura regimental
foi aprovada pelo Decreto n° 10.474, de 26 de agosto de 2020.
Para conhecer sua composição, observe o esquema a seguir.
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 51
Estrutura
organizacional
da ANPD
CONSELHO DIRETOR
Órgão máximo de decisão
ÓRGÃOS DE ASSISTÊNCIA DIRETA
E IMEDITA AO CONSELHO DIRETOR
Secretaria Geral, Coordenação Geral
de Administração e Coordenação Geral
de Relações Institucionais e Internacionais
ÓRGÃOS ESPECÍFICOS SINGULARES
Coordenções-Gerais
de Normatização,
Fiscalização e Tecnologia
e Pesquisa
ÓRGÃO SECCIONAIS
Corregedoria, Ouvidoria
e Assessoria Jurídica
ÓRGÃO CONSULTIVO
Conselho Nacional de
Proteção de Dados
Pessoais e da Privacidade
Fonte: Senac SETED (2019).
O Conselho Diretor é constituído por 5 membros indicados pelo Ministro de Estado Chefe da Casa
Civil da Presidência da República e nomeados pelo Presidente, após aprovação do Senado Federal. O
mandato dos membros do Conselho Diretor é de quatro anos, prorrogável uma vez, por igual período.
O Conselho Diretor, de acordo com o Artigo 4° do Decreto nº 10.474/2020, estará investido de dezenove
competências objetivando orientar, interpretar, fiscalizar e aplicar as necessárias sanções aos entes
públicos e privados que transgredirem a LGPD, tendo ainda caráter autônomo, técnico e decisório,
inclusive de solicitar, conforme segue demonstrado, relatórios e informações, e de acordo com os
relatórios e diligências, instaurar e processar administrativamente as situações divergentes da LGPD
sob sua competência:
ÓRGÃOS E ENTIDADES
DO PODER PÚBLICO
CONTROLADORES
Art. 5° da Lei nº 13.709/2018
AGENTES
PÚBLICOS
Relatório de
Impacto à proteção
de dados pessoais.
Poderá ainda solicitar informações suplementares e realizar diligências de verificação quanto às
operações de tratamento, no que se refere à aprovação de transferências internacionais de dados.
Informações específicas
sobre o tipo e tratamento
realizado nos dados pessoais.
Publicação de relatórios de
impacto à proteção de dados
pessoais, sugerindo adoção de
padronização e boas práticas.
Fonte: Adaptado de Brasil (2018) e Brasil (2020a).
Mas, como está o cenário atual do Brasil na proteção de dados pessoais?
4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 52
Você já deve ter ouvido ou lido alguma reportagem sobre o vazamento de dados pessoais em alguma
grande empresa. Segundo a pesquisa anual da IBM, “Cost of a Data Breach”, em 2019, o Brasil foi o
quarto colocado em termos de volume de informações vazadas. Preocupante, não é mesmo?
Conforme já apresentamos neste curso, a LGPD, além de colocar o Brasil no grupo de países que pro�
tegem o titular de dados pessoais, traz um novo olhar para esse tipo de dado.
Basicamente, podemos dizer que essa legislação tem impacto sobre como as organizações coletam,
armazenam e analisam os dados pessoais de seus clientes e colaboradores. Os cuidados com o ar�
mazenamento devem buscar garantir que esses dados não sejam vazados. Assim, com a entrada
em vigor dessa lei, espera-se que o Brasil passe a ocupar uma posição melhor nesse ranqueamento
realizado pela IBM.
Agora é com você!
Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda
proposta sobre a LGPD.
Nesse passeio sobre a LGPD, abordamos a estrutura, os
principais conceitos da lei, seus critérios de aplicabilidade,
os diferentes atores envolvidos e também as sanções pas�
síveis de serem impostas em caso de descumprimento.
Com essas informações, você deverá estar se sentindo
mais preparado e confiante para enfrentar os desafios a seguir. Eles envolvem uma interessante
reflexão sobre quais impactos a LGPD irá provocar nas relações negociais, considerando a sua aplica�
bilidade geral, envolvendo os direitos de titulares de dados pessoais tratados por empresas de todos
os portes e de todos os segmentos da atividade econômica.
Mas, você sabe quais são os impactos da LGPD nas relações negociais? Já pensou sobre que ações a
empresa que você trabalha adotou para se adequar a essa legislação?
SEGURANÇA
AGENTES DE TRATAMENTO
TRANSFERÊNCIA INTERNACIONAL DE DADOS
PRINCÍPIOS
OBJETIVOS
APLICABILIDADE BASES LEGAIS
FISCALIZAÇÃO
PENALIDADES
DPO
LGPD
ANPD
Lei Geral de Proteção de Dados Pessoais (LGPD)	 53
5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS
Assim como já aconteceu em diferentes ocasiões, com outros diplomas legais, como o Código de Defe�
sa do Consumidor ou com o novo Código Civil, a LGPD também causou profundas mudanças na forma
das empresas se relacionarem com as pessoas físicas, com as quais mantêm algum tipo de contato,
como no caso de empregados ou clientes.
Você sabia que o impacto também ocorreu nas relações negociais entre as empresas e até mesmo no
âmbito governamental?
Isso deve-se ao fato de que a LGPD trata de assuntos que estão muito presentes no nosso cotidiano,
exigindo que tanto as empresas quanto os indivíduos, passem a atentar para determinados aspectos
de privacidade e de gerenciamento da informação, e passem a agir de forma efetiva, visando a
proteção dos dados pessoais.
Certamente, teremos pela frente um grande desafio, cercado de algumas incertezas, o que poderá
provocar um certo desconforto inicial. No entanto, imaginamos que com o passar dos dias e com a
esperada atuação da ANPD, aos poucos, a nuvem cinzenta, que hoje se descortina no horizonte, possa
ir se dissipando, e que a sociedade passe para uma fase mais tranquila no que diz respeito ao uso e
à proteção dos dados pessoais.
A experiência europeia nos mostra que muitos ajustes terão que ser realizados pelas empresas, e que
o quanto antes elas buscarem a adequação de seus processos e procedimentos às previsões da LGPD:
	
Ÿ menor será o impacto em suas atividades diárias e
	
Ÿ menor será o risco de sofrer penalidades em função de possíveis não conformidades.
Mas, o que a LGPD muda no dia a dia das empresas?
5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS
Com a entrada em vigor da LGPD, a partir de setembro de 2020, os desafios para as empresas são
enormes.
Videoaula
Para entender um pouco melhor esses desafios e outros aspectos relacionados à LGPD, clique aqui e
assista à entrevista com o advogado Luciano Bridi, pós-graduado em Gestão de Projetos de Tecnologia
da Informação e autor deste curso.
Nessa entrevista, você pôde compreender que para o sucesso de um programa de privacidade, é
importante que três aspectos sejam atendidos: tecnologia, processos e pessoas. Assim, para proteger
os dados pessoais, o redesenho das políticas da empresa que envolvem esses aspectos é fundamental.
5 - O impacto da LGPD nas relações negociais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 54
Atenção
Todas as situações em que dados pessoais são tratados deverão ter sido verificadas, pois, a qualquer
momento, os titulares de dados poderão exercer seus direitos, exigindo respostas.
Os empregados, os clientes que sejam pessoas físicas e, até mesmo, outros terceiros que, em algum
momento, tenham tido seus dados coletados, armazenados, processados ou simplesmente consultados
pelas empresas, estarão aptos a:
Realizar reclamações,
Receber retornos sobre a finalidade do uso desses dados,
Solicitar a sua correção ou exclusão,
Pedir esclarecimentos sobre com quem tais dados foram compartilhados etc.
Enfim, toda uma gama de direitos que anteriormente eram ignorados, passaram, agora, a ser valori�
zados e ganharam destaque na mídia.
A possibilidade da ocorrência de incidentes de proteção de dados obrigará as empresas a manter
planos de contingência para tais situações. Os riscos deverão estar mapeados e mitigados e um plano
de ações deverá ser executado.
Além disso, a adequação à LGPD diz respeito a mudanças culturais, que envolvem a tecnologia, os
processos e, principalmente, as pessoas. Novas políticas e procedimentos surgirão, provocando alte�
rações nas rotinas diárias.
As empresas precisarão estar abertas para essas mudanças, que envolverão a necessidade de:
	
Ÿ planejamento,
	
Ÿ orçamento e
	
Ÿ capacidade de execução.
5.2 CENÁRIO INICIAL
Levando-se em conta a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, em 18 de setembro
de 2020, e o atual grau de adequação das empresas, em que muitas ainda sequer ouviram falar da LGPD,
temos um cenário preocupante à frente.
5 - O impacto da LGPD nas relações negociais
Lei Geral de Proteção de Dados Pessoais (LGPD)	 55
Ainda é preciso muita divulgação, para que os empresários, em geral dos pequenos e médios negó�
cios, se conscientizem da importância que esse diploma legal terá no relacionamento com as pessoas
físicas titulares de dados.
O nível de exposição a riscos de incidentes ligados ao tratamento de dados terá um crescimento subs�
tancial, e com eles, pode-se imaginar até mesmo o surgimento da chamada “indústria da indenização”,
pautada em buscar reparações de danos por violações de direitos dos titulares de dados.
Mas, como será a atuação inicial da ANPD?
De acordo com o Decreto n° 10.474/2020, a partir de agosto de 2021, quando a ANPD estiver atuando,
ela terá o compromisso de zelar, fiscalizar, orientar, promover ações de cooperação, dentre outras
competências.
O texto do Decreto não deixa dúvidas de que ANPD é investida de autonomia técnica e decisória com
jurisidição no território nacional, instaurando processos administrativos e, de acordo com a decisão,
impondo multas e sanções em conformidade com a transgressão cometida contra a LGPD.
A ANPD é a guardiã da Lei, e compete às instituições públicas e privadas, independentemente do seu
seguimento e tamanho, estar em consonância com a normativa que entrou em vigor em 18 de setembro
de 2020, para evitar a forte atuação fiscalizadora, que é a essência da ANPD.
5.3 O PERIGO DA FALTA DE ADEQUAÇÃO
A lei prevê penalidades bastante onerosas para as empresas que não estiverem preparadas. A omissão
das organizações na adoção de medidas mitigadoras dos riscos de incidentes com dados pessoais
poderá ser punida de forma exemplar.
NA UNIÃO EUROPEIA, APÓS POUCO MAIS DE UM
ANO DA ENTRADA EM VIGOR DA GDPR, HOUVE:
200.000 denúncias
64.000 autuações
Fonte: Senac SETED (2019).
Como você pôde perceber, na Europa, as autoridades nacionais não têm dado trégua.
Você sabia que o custo da falta de adequação representa em média mais de três vezes o valor dispendido
com investimentos necessários para colocar a empresa em conformidade com a lei?
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila
LGPD Apostila

Mais conteúdo relacionado

Mais procurados

Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
RicardoCrdobaBaptist
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Joao Galdino Mello de Souza
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)
Luiz Agner
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
Wellington Monaco
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Eliézer Zarpelão
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
Wellington Monaco
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
Rosalia Ometto
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
Wellington Monaco
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
Marcos Aurelio Paixao
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
Graziela Brandão
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)
Soraia Lima
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
Wellington Monaco
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptx
JacsonSouza10
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
Wellington Monaco
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
Wellington Monaco
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
Carlos Henrique Martins da Silva
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
anselmo333
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
Wellington Monaco
 

Mais procurados (20)

Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptx
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 

Semelhante a LGPD Apostila

01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
Jorge Andrade
 
licalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvvlicalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvv
FbioRodrigues312740
 
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
BaltasarFernandes
 
A relação da lgpd e o contexto social brasileiro serviço social 1º semestre
A relação da lgpd e o contexto social brasileiro   serviço social 1º semestreA relação da lgpd e o contexto social brasileiro   serviço social 1º semestre
A relação da lgpd e o contexto social brasileiro serviço social 1º semestre
HELENO FAVACHO
 
A Insustentável Leveza dos Dados
A Insustentável Leveza dos DadosA Insustentável Leveza dos Dados
A Insustentável Leveza dos Dados
Rafael Pellon
 
LGPD e o uso de dados
LGPD e o uso de dadosLGPD e o uso de dados
LGPD e o uso de dados
GT ASSESSORIA ACADÊMICA
 
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
Virtù Tecnológica
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas Brasileiras
JUAREZ DE OLIVEIRA
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
Cidrone
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
Delcio Pacheco Do Prado
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
IPAI Instituto Auditoria Interna
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
ssusera7d631
 

Semelhante a LGPD Apostila (12)

01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
01.GUIARAPIDOLPGDXXXXXXXXXXXXXXXXXXXX.pdf
 
licalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvvlicalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvv
 
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...
 
A relação da lgpd e o contexto social brasileiro serviço social 1º semestre
A relação da lgpd e o contexto social brasileiro   serviço social 1º semestreA relação da lgpd e o contexto social brasileiro   serviço social 1º semestre
A relação da lgpd e o contexto social brasileiro serviço social 1º semestre
 
A Insustentável Leveza dos Dados
A Insustentável Leveza dos DadosA Insustentável Leveza dos Dados
A Insustentável Leveza dos Dados
 
LGPD e o uso de dados
LGPD e o uso de dadosLGPD e o uso de dados
LGPD e o uso de dados
 
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas Brasileiras
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
 

LGPD Apostila

  • 1. Lei Geral de Proteção de Dados Pessoais (LGPD) Curso de Aperfeiçoamento em Tecnologia
  • 2. Créditos Serviço Nacional de Aprendizagem Comercial – Senac/SC Departamento Regional em Santa Catarina FECOMÉRCIO Presidente Bruno Breithaupt Diretor Regional Rudney Raulino Diretoria de Educação Profissional Ana Elisa Cassal Conteudista Luciano Bridi Desenvolvimento e Editoração Setor de Tecnologias Educacionais – SETED Coordenação Técnica Setor de Tecnologias Educacionais – SETED © Senac | Todos os Direitos Reservados
  • 3. Sumário CONTEXTUALIZANDO ���������������������������������������������� 5 1 O ENORME VALOR DOS DADOS PESSOAIS ������������������� 6 1.1 O CONCEITO DE DADO PESSOAL �������������������������������������������  7 1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO ����������������������  13 1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS ����  15 2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS ������������������������������������������  17 2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO �����������������������������������  18 2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS �����������������������������������  20 2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO ��������������  21 3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL �����������  28 3.1 OS PRIMEIROS PASSOS ���������������������������������������������������������  28 3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR ���������������������������  30 3.3 O MARCO CIVIL DA INTERNET ����������������������������������������������  31 3.4 FINALMENTE, UMA LEI GERAL! ���������������������������������������������  32 4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ������������������������������������������  34 4.1 OBJETIVOS �����������������������������������������������������������������������������  36 4.2 FUNDAMENTOS ��������������������������������������������������������������������  36 4.3 APLICABILIDADE �������������������������������������������������������������������  37 4.4 PRINCIPAIS CONCEITOS ��������������������������������������������������������  38 4.5 PRINCÍPIOS A SEREM OBSERVADOS �������������������������������������  39 4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS ������������������������������������������������������������  40 4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS ���������������  44 4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO  ����  45 4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS ������������������  46 4.10 AGENTES DE TRATAMENTO ������������������������������������������������  46 4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO) �����������������������������������������������  46
  • 4. 4.12 SEGURANÇA E BOAS PRÁTICAS ������������������������������������������  47 4.13 FISCALIZAÇÃO E PENALIDADES ������������������������������������������  49 4.14 ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS ��������������������������������������������������  50 5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS ���������  53 5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS �����������������������  53 5.2 CENÁRIO INICIAL �������������������������������������������������������������������  54 5.3 O PERIGO DA FALTA DE ADEQUAÇÃO ����������������������������������  55 6 O QUE FAZER PARA FICAR EM DIA COM A LGPD �����������  57 6.1 CONSCIENTIZAÇÃO ���������������������������������������������������������������  57 6.2 ADEQUAÇÕES TÉCNICAS ������������������������������������������������������  58 6.3 ADEQUAÇÕES ADMINISTRATIVAS ����������������������������������������  59 6.4 A CULTURA DA PROTEÇÃO DE DADOS ���������������������������������  60 CONSIDERAÇÕES �������������������������������������������������  62 REFERÊNCIAS �����������������������������������������������������  63
  • 5. Lei Geral de Proteção de Dados Pessoais (LGPD) 5 CONTEXTUALIZANDO Este curso, Lei Geral de Proteção de Dados Pessoais (LGPD), foi desenvolvido para atender uma demanda crescente de profissionais que desejam obter maiores conhecimentos sobre essa legislação, que tanto afetou o cotidiano das organizações e que entrou em vigor a partir de 18 de setembro de 2020. Sendo assim, este material irá contextualizar as razões do aumento significativo da importância dos dados pessoais, demonstrando sua evolução legislativa em nível mundial e de que forma isso está refletindo em nosso país. Nos próximos anos, as oportunidades na área de segurança da informação crescerão vertiginosamente. Na mesma proporção, as iniciativas de compliance também estarão entre as prioridades do mercado. Para o bom desempenho nessas áreas, é fundamental que as empresas disponham de pessoal qualificado e apto a desempenhar novas funções como a de Encarregado de Dados, previsto na LGPD. Agora, conheça alguns exemplos de atividades que exigem conhecimentos específicos, para que sejam executadas com o devido zelo e atenção: Compreender a abrangência da LGPD e entender seu escopo. Ser capaz de identificar quais dados pessoais são tratados. Entender a que tipos de riscos as empresas estão sujeitas e de que maneira é possível preveni-los. Saber o que fazer em caso de incidentes com dados pessoais. Perceba que, nesse sentido, este curso será de grande valia, constituindo-se na base necessária para uma adequada capacitação profissional. Videoaula Agora, clique aqui, assista ao vídeo e conheça a estrutura deste curso. Dever de estar em conformidade com atos, normas e leis, para seu efetivo cumprimento.
  • 6. Lei Geral de Proteção de Dados Pessoais (LGPD) 6 1 O ENORME VALOR DOS DADOS PESSOAIS Você já deve ter percebido que o valor que damos às coisas é subjetivo e mutável. Subjetivo, porque o valor que um determinado bem tem para uma pessoa pode ser completamente diferente do valor que esse mesmo bem tem para outra pessoa. Mutável, porque, ao longo do tempo, esse bem pode perder ou ganhar valor, de acordo com as circunstâncias. Para melhor compreender como o valor que damos às coisas pode mudar, observe a Figura 1. Figura 1 - O valor de uma garrafa de água UMA GARRAFA DE ÁGUA NA SUA CASA PODE SER ALGO DE POUCA IMPORTÂNCIA PARA VOCÊ E SEUS FAMILIARES MAS, SE ESSA MESMA GARRAFA SERVIR PARA MATAR A SEDE DE UM VIAJANTE NO DESERTO DO SAARA, CERTAMENTE TERÁ UM VALOR INESTIMÁVEL Fonte: Senac SETED (2019). Assim, ao longo do tempo, diferentes coisas foram sendo valorizadas na sociedade, enquanto outras decresceram em termos de importância. Os valores atribuídos aos nossos bens mudaram e continuarão mudando constantemente. Fato inequívoco é o que ocorre com a cotação das empresas na bolsa de valores. Que tal compreender como o valor das empresas foi sendo alterado ao longo dos anos? Ÿ Quando as primeiras ações começaram a ser negociadas, o grande diferencial para se atribuir valor a uma organização era o seu patri� mônio físico: instalações, localização, maquinário... Ÿ Posteriormente, o valor das empresas passou a ser ditado pela qualidade de seus produtos, estoques, ativos financeiros e efici� ência logística.
  • 7. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 7 Ÿ Mais recentemente, houve a valorização do capital humano e o incentivo ao conhecimento e à inovação. Ÿ Mas, na onda atual, o grande diferencial a atestar o valor de uma empresa perante o mercado está na sua capacidade de adquirir, armazenar, processar e utilizar a informação. Para melhor compreensão deste primeiro tópico, cabe-nos rememorar alguns conceitos básicos de Sistemas de Informação, em que a pergunta “o que é informação? ” nos é respondida, via de regra, pelo seguinte enunciado: “Informação é o dado com significado, processado de forma a ser útil” (XEXÉO, 2007). Ao fazer um link dessa afirmação com o título deste primeiro tópico, “O enorme valor dos dados pes� soais”, podemos concluir, logicamente, que dados são fundamentais para a produção de informações, tornando-se uma espécie de combustível vital, tal qual o petróleo foi para a humanidade até pouco tempo atrás. E, no universo dos milhares de dados que circulam diariamente pelo cotidiano das organizações, um tipo em especial vale mais do que qualquer outro: os dados pessoais! Mas, você sabe o que são dados pessoais? 1.1 O CONCEITO DE DADO PESSOAL Bem, já sabemos que os dados pessoais têm enorme valia nos dias atuais. Mas afinal, o que é exatamente um dado pessoal? Podemos começar respondendo da forma mais óbvia possível: dados pessoais são dados de pessoas, aqueles que servem para identificá-las ou atribuir-lhes determinadas características. Mas existe um ponto fundamental de corte: ao mencionar “dados pessoais” há um entendimento mundial de que se tratam de dados de pessoas físicas, também chamadas pelos legisladores de “pessoas naturais”. Em resumo: estamos falando de... gente. Ou seja, ficam fora os dados de empresas e outras instituições, as chamadas “pessoas jurídicas”. Contudo, isso não significa que tais dados não tenham valor ou que não devam ser protegidos. Signi� fica apenas, que no espectro de aplicação das leis que versam sobre dados pessoais, eles não estão contemplados.
  • 8. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 8 Também ficam fora da proteção gerada pela LGPD, os dados: De animais. De personagens fictícios. De robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser humano. Agora, conheça como a LGPD, em seu Artigo 5º, inciso I, conceitua dado pessoal (grifos nossos): I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável identificável; Antes de prosseguir com seus estudos e conhecer os dados que estão ligados, diretamente, à pessoa e a identificam instantaneamente, que tal relembrar o que você acabou de aprender sobre a LGPD? NÃO SE APLICA  Dados de pessoas físicas SE APLICA  Dados de pessoas jurídicas  Dados de animais, personagens fictícios, robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser humano LGPD No âmbito das categorias de dados abrangidas pela LGPD, estão compreendidos os dados de todas as pessoas físicas identificadas por tais dados ou identificáveis por eles.
  • 9. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 9 Para melhor compreender o que isso significa, observe a imagem a seguir. DADOS QUE ESTÃO LIGADOS, DIRETAMENTE, À PESSOA E A IDENTIFICAM INSTANTANEAMENTE Nome e Sobrenome CPF DNA Impressões digitais Sexo Cor da pele Data de nascimento DADOS PESSOAIS QUE, ISOLADAMENTE, NÃO IDENTIFICAM SEU TITULAR Fonte: Senac SETED (2019). Perceba que, a princípio, se você tem a data de nascimento de alguém, isso apesar de ser um dado pessoal, isoladamente, não servirá para identificar ninguém, pois há milhares de pessoas nascidas em uma mesma data. Porém, se for feita uma associação desse dado, a algum outro dado pessoal, ou contexto, o titular desse dado poderá ser identificado. Agora, compreenda como a associação de dado pessoal e contexto pode auxiliar na identificação do titular de um dado.
  • 10. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 10 Exemplo Imagine que você tenha a data de nascimento de alguém: 29/02/1980. O famoso dia do ano bissexto, aquele que só é acrescentado ao calendário de 4 em 4 anos. Pois bem, ao analisá-lo de forma isolada, você saberá que, em todo o mundo, muita gente nasceu nesta data, impossibilitando identificar a qual dessas pessoas pertence esse dado. Só a título de curiosidade, segundo o World Data Lab, 278.841 pessoas nasceram nessa data no mundo. Porém, se essa análise ocorrer dentro de um contexto menor, por exemplo, no ambiente de uma empresa de médio porte, é possível que, com a simples menção da data de nascimento, você identifique o colaborador que tenha nascido neste dia, pois o universo de comparação reduziu-se significativamente. Assim, chamamos o titular de pessoa identificável. Ainda nas categorias de dados, o legislador nos trouxe, no Art. 5º, inciso II, o conceito de dados sensíveis: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Figura 2 - Dados sensíveis DADOS SENSÍVEIS Fonte: Senac SETED (2019). Ao diferenciar tais dados, quis a LGPD, na esteira das principais leis de proteção de dados ao redor do mundo, conferir proteção extra ao titular de dados, quando esses envolverem temas polêmicos ou de foro íntimo, capazes de gerar algum tipo de discriminação ou preconceito.
  • 11. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 11 Agora, observe a seguir, dois exemplos de dados sensíveis. Ÿ Ao informar sua religião, você pode sofrer com a prática de bullying dentro da organização. Ÿ Ao saber que uma pessoa é portadora de determinada doença, uma empresa pode decidir por excluí-la de um processo seletivo. Assim, os dados sensíveis possuem regras de utilização mais restritas, exigindo cuidados redobrados no seu tratamento. A terceira categoria de dados, envolve os chamados “dados anonimizados”. Diz o Art. 5º, inciso III, da LGPD: III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; Esses são os casos nos quais se extrai determinados dados de uma base, geralmente para fins esta� tísticos ou quantitativos, em que não será levada nenhuma outra informação capaz de identificar os titulares desses dados. Para melhor compreender os dados anonimizados, acompanhe o exemplo a seguir. Exemplo Em uma pesquisa da média1 de idade de colaboradores de uma empresa, colhem-se apenas as datas de nascimento de todos os colaboradores, sem que isso signifique a capacidade de, isoladamente, fornecer a identificação de alguém. 1  Resultado da soma de todas as informações de um conjunto de dados dividida pelo número de dados que foram somados. Você sabia que a lei estabelece ainda, tratamento diferenciado para dados de crianças dados de crianças e adolescentes adolescentes? É preciso consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal, para que haja conformidade no tratamento de dados. Outro aspecto a ser considerado, é que, quanto à sua formatação, a lei não faz distinção entre dados digitais e dados analógicos, concedendo o mesmo nível de proteção a ambos.
  • 12. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 12 Assim, tanto os arquivos de bases de dados de um software, armazenados em um determinado ser� vidor, quanto eventuais fichas, formulários e papéis existentes na empresa, podem conter dados pessoais e deverão ser mapeados. Por fim, vale destacar que os dados pessoais podem ser do tipo “estruturados” ou “não estruturados”. Agora, compreenda as diferenças entre esses tipos de dados. Dados estruturados Quando pertencentes a um banco de dados ou planilha, organizados sob a forma de tabela e sequencialmente dispostos em cada registro. Dados não estruturados São os dados que carecem de uma estrutura prévia de alocação, podendo aparecer sob diferentes formatos e meios de armazenamento. Figura 3 - Dados estruturados X Dados não estruturados DADOS ESTRUTURADOS DADOS NÃO ESTRUTURADOS 0.103 0.176 0.387 0.300 0.379 0.333 0.384 0.564 0.587 0.857 0.421 0.309 0.654 0.729 0.228 0.266 0.750 1.056 0.936 0.911 0.225 0.326 0.643 0.337 0.721 0.187 0.586 0.529 0.340 0.829 0.153 0.485 0.560 0.428 0.628 Fonte: Adaptada de Laserfiche® (2019). Que tal conhecer alguns exemplos de dados não estruturados? Dados pessoais constantes em um texto qualquer, que tenha sido digitalizado em formato PDF. Imagens de pessoas postadas em redes sociais. Textos, áudios ou vídeos constantes de aplicativos de troca de mensagens, como o WhatsApp.
  • 13. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 13 Em função disso, vale lembrar que ao se pensar em segurança dos dados pessoais, deve-se proteger também os dados não estruturados, pois muitas vezes, é deles que vazam características e detalhes que podem comprometer a privacidade, a intimidade ou a honra do titular. 1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO Embora já saibamos que a LGPD concede igual nível de proteção, sem distinguir os dados digitais dos dados analógicos, o fato é que o avanço tecnológico proporcionou os insumos necessários para a disseminação do uso de dados pessoais, principalmente, em função da quebra de duas restrições técnicas, que dificultavam o tratamento de dados no passado. Agora, descubra quais são essas duas restrições técnicas que foram quebradas pelo avanço tecnológico. A capacidade de armazenamento de dados. A velocidade de processamento dos dados. Agora, que tal compreender essas duas restrições técnicas? Capacidade de armazenamento de dados Nos primórdios da computação, cada byte economizado na gravação de um determinado dado, representava uma economia significativa para desenvolvedores e usuários de siste� mas computadorizados. Não foi à toa que, na virada do ano 2000, o mundo se viu às voltas com o chamado “Bug do Milênio”. Esse aparente erro de interpretação de data nos softwares, na verdade ocorria somente porque os programadores da época, no intuito de economizar espaço de armazenamento em disco, ao invés de gravarem as datas no formato DD/MM/AAAA, com quatro dígitos no ano, utilizavam o formato DD/MM/AA, com apenas dois dígitos no ano, poupando, assim, dois preciosos bytes a cada data armazenada. Figura 4 - Centro de processamento de dados Fonte: Wikimedia Commons (2019).
  • 14. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 14 Porém, com a virada do milênio, os sistemas passaram a entender as datas do ano 2000, gravadas apenas com 00, como significando 1900, gerando imensa confusão e obrigando as empresas de TI (Tecnologia da Informação) a gastarem vários bilhões de dólares com o custo da adequação dos sistemas. A realidade atual é absolutamente outra. Hoje, o custo de armazenagem de dados caiu vertiginosamente. Em tempos de big data, data warehouse e data mining, o que se prega é exatamente o contrário: armazene a maior quantidade possível de informações sobre seus clientes, fornecedores e seja lá tudo o mais que possuam dados, com os quais você se relaciona ou pretende se relacionar. Afinal, os dados, agora, são valiosíssimos. Então, quanto mais eu puder armazenar, mais poderei explorar. Velocidade de processamento dos dados Esse ponto de inflexão no tratamento de dados ocorreu, diretamente, em função de um aspecto exclusivamente técnico. As máquinas passaram, gradativamente, a poder proces� sar uma quantidade muito maior de dados, cada vez em menos tempo, de forma segura e barata. Entre o pessoal da área de Tecnologia da Informação é muito conhecida a chamada “Lei de Moore”. Essa lei refere-se a uma “profecia” realizada por Gordon Earle Moore, presidente da Intel na época, em meados dos anos 60. Segundo essa lei: “A velocidade de processamento das máquinas dobra a cada dezoito meses.” Figura 5 - Gordon Earle Moore Fonte: Flickr da Intel Free Press (2013). Big data: Termo que descreve o grande volume de dados - estruturados e não estruturados - que impactam os negócios diariamente. Data warehouse: Depósito de dados digitais que serve para armazenar informações detalhadas relativas a uma empresa, criando e organizando relatórios através de históricos que serão usados, posteriormente, pela empresa para ajudar na tomada de decisões importantes. Data mining: A tradução dessa expressão é mineração de dados. Consiste em uma funcionalidade que agrega e organiza dados, encontrando neles: padrões, associações, mudanças e anomalias relevantes.
  • 15. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 15 A verdade é que aquilo que Moore profetizou, tornou-se realidade e hoje o céu é o limite. O crescimento exponencial da capacidade das máquinas em armazenar e processar velozmente os dados, abriu margem a uma série de combinações algorítmicas, antes inimagináveis, possibilitando cruzamentos de dados e obtenção de informações detalhadas e complexas, a cabo de uns poucos segundos. Saiba mais Para conhecer um pouco mais sobre a Lei de Moore e compreender o porquê você deve se preocupar com o fim dela, clique aqui. Boa leitura! Ora, se o grande objetivo de se coletar e armazenar dados é produzir informações valiosas a partir de seu processamento, e se fazer isso, do ponto de vista tecnológico, se tornou rápido e barato, então as empresas irão buscar cada vez mais obter dados para dar sequência a essa produção de riqueza... 1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS Diante de um cenário tecnológico extremamente favorável, algumas grandes empresas da área come� çaram a exercer um poder oculto, mascarando as reais finalidades das coletas de dados, direcionando informações, influenciando decisivamente nas escolhas feitas pelas pessoas. Foi nesse momento, ante a necessidade de se colocar freios na utilização abusiva dos dados pessoais, que as legislações de proteção, antes tímidas, esparsas e setorizadas, foram ganhando corpo, até se transformarem em um sistema transnacional e efetivo de proteção de dados, dotado de imensa capacidade coercitiva. Ao analisarmos as principais legislações de proteção de dados pelo mundo, concluiremos que seus princípios basilares são sempre os mesmos, buscando manter: A liberdade, A privacidade e A capacidade de autodeterminação informativa das pessoas. Agora é com você! Agora, antes de prosseguir com seus estudos e conhecer a evolução histórica da legislação de dados pessoais, acesse o Material de Estudo deste curso no Ambiente Virtual de Aprendizagem (AVA) e realize a atividade de Reflita e Responda proposta Poder do indivíduo determinar e controlar a utilização de seus dados pessoais.
  • 16. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 16 Na nossa preparação para compreendermos, adequada� mente, o funcionamento da LGPD, este tópico abordou o contexto atual dos aspectos relacionados à proteção de dados pessoais. Tivemos a oportunidade de entender as razões para a alta valorização dos dados pessoais e o quanto a evolução tecnológica influenciou nisso. E vimos, também, a necessidade premente de se criar regras que possam coibir os abusos que vêm ocorrendo com a utili� zação indiscriminada de nossos dados. No próximo tópico, veremos como está ocorrendo a evolução dessas regras em um mundo globalizado e sua ligação com os sistemas regulatórios de compliance. Mas, antes de compreender a evolução da legislação de dados pessoais, que tal conferir o texto oficial da LGPD na íntegra? Para isso, clique aqui. Boa leitura! Imediata, urgente. PESSOAS FÍSICAS DADOS PESSOAIS DADOS ANONIMIZADOS DADOS ESTRUTURADOS PESSOA IDENTIFICÁVEL DADOS SENSÍVEIS INFORMAÇÃO DADOS DIGITAIS DADOS ANALÓGICOS PROCESSAR VALOR LGPD ARMAZENAR DADOS NÃO ESTRUTURADOS
  • 17. Lei Geral de Proteção de Dados Pessoais (LGPD) 17 2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS A preocupação com a preservação dos dados pessoais não é algo novo. Nasceu, praticamente, com a própria sociedade, pois desde tempos imemoriais, sabe-se que o direito à privacidade, à intimidade e ao sigilo das conversas sempre foi importante para a harmonia social e para o bom desenvolvimento das relações humanas. Figura 6 - O antivírus Ufa!!! Que bom que tenho um excelente antivírus. Nossa, um vírus! Fonte: Adaptada de Blog Bit Atualidades - Charges sobre informática (2011). Mas, o fato é que o surgimento de novas tecnologias, com expoência para a disseminação do uso do computador a partir da década de 40, proporcionaram um significativo incremento nas formas de coleta, armazenamento e processamento de dados. Conclusões, análises de resultados e cálculos esta� tísticos, que outrora levavam meses para ficarem prontos, agora estavam a poucas horas de distância. Por outro lado, com o advento da Segunda Guerra Mundial, a preocupação com o uso abusivo dos dados pessoais cresceu significativamente, fazendo nascer toda uma cultura de proteção de dados. Isso aconteceu, notoriamente, na Europa, onde milhões de seres humanos foram condenados à morte nas câmaras de gás, unicamente pelo fato de terem seus dados pessoais revelados, seja em razão da sua fé professada, de seu sobrenome, local de nascimento ou grupo étnico. Em tempos passados, antigamente.
  • 18. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 18 Figura 7 - Judeus húngaros na Judenrampe (rampa judaica) depois de desembarcar dos trens do Holocausto. Várias fontes acreditam que o fotógrafo tenha sido Ernst Hoffmann ou Bernhard Walter Fonte: Wikimedia Commons (2019). Assim, no pós-guerra, com o surgimento das primeiras legislações nacionais, tratou-se logo de estabe� lecer mecanismos de controle sobre o uso dos dados pessoais. A retomada das negociações comerciais entre os países e a livre circulação de pessoas, com a cons� tituição da União Europeia, também contribuíram decisivamente para o aprimoramento das leis de proteção de dados. Por outro lado, o incremento na capacidade de armazenamento de dados, aliado ao exponencial desenvolvimento da velocidade de processamento das máquinas, abriram margem ao aumento significativo nos volumes de dados pessoais tratados e, consequentemente, à necessidade de se criar regras e limites para a proteção dos direitos dos titulares desses dados. 2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO Na medida em que a sociedade criava e diversificava os diferentes meios de comunicação, as primeiras leis visando preservar a privacidade das pessoas foram surgindo. Mas estamos falando de normas esparsas, iniciativas isoladas em um país aqui e outro ali. Quando olhamos para a legislação de proteção de dados de maneira sistêmica, estruturada, com leis padronizadas e de aplicabilidade geral, o que percebemos é que isso só começou a ocorrer a partir do momento em que intensificaram-se as relações de comércio internacional, capitaneadas pelas novas facilidades tecnológicas. Diversas atividades de processamento de dados, que antes ficavam restritas a uma determinada localização física, passaram a ser executadas em diferentes pontos do globo.
  • 19. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 19 Alguns fatores permitiram que os mesmos processadores que operavam na Europa e nos Estados Unidos (EUA), estivessem em uso, ao mesmo tempo, em países distantes como Índia ou China, sendo que esses fatores são: O aprimoramento das redes de telecomunicação, A quebra de barreiras comerciais e Os acordos de cooperação técnicos. A tecnologia acompanhou o fenômeno mundial da globalização. E, na esfera do tratamento de dados, não foi diferente. Os grandes data centers (Figura 8), antes centralizados no primeiro mundo, foram deslocados para os mais diversos países. Soma-se a isso o incremento no volume mundial de transa� ções on-line. É natural que houvesse a necessidade de se proteger os dados. Principalmente, os dados pessoais, ante a sua exponencial valorização. Figura 8 - Data center Fonte: iStock (2019). Assim, os países em que não existia qualquer lei de proteção de dados pessoais, passaram a ser pres� sionados para se adequar a essa exigência, a fim de poder garantir a continuidade das transações de compartilhamento e transferência internacional de dados, mantendo o mesmo nível de segurança existente nos países mais avançados nessa cultura. Se não fosse a globalização, desencadeada, principalmente, a partir da virada do milênio, muitas nações ainda estariam na pré-história do nível de proteção de dados pessoais. Data center, também conhecido como centro de processamento de dados, é o local em que estão concentrados os servidores, equipamentos de processamento e armazenamento de dados, além dos sistemas de ativos de rede (como switches e roteadores) de uma organização.
  • 20. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 20 2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS Um aspecto a ser destacado, quando falamos em proteção de dados pessoais como um sistema, é que em sua essência, ele deriva, diretamente, dos padrões das chamadas normas de compliance. Informação A palavra compliance, vem do verbo em inglês to comply, que significa, em tradução livre, “fazer cumprir”, ou seja, realizar aquilo que foi combinado, respeitar o que está acordado, respeitar a lei, agir de acordo com um regulamento. Figura 9 - Compliance COMPLIANCE REGULAMENTAÇÃO GOVERNO PADRONIZAÇÃO REQUERIMENTOS TRANSPARÊNCIA POLÍTICAS LEIS REGRAS Fonte: Senac SETED (2019). Apesar de o termo ser conhecido há muito tempo, as iniciativas de compliance ganharam força a partir dos grandes escândalos de corrupção ocorridos nos Estados Unidos, com a falência das gigantescas companhias Enron e WorldCom, envolvendo ainda uma das principais empresas de auditoria do mundo. Leis complexas surgiram para regulamentar as áreas de finanças e de contabilidade, como é o caso da Lei Sarbanes Oxley nos EUA. A auto-regulamentação ganhou força. Surgiram os programas de integridade e ética empresarial. A Lei Sarbanes Oxley teve como “objetivos estabelecer sanções que coíbam procedimentos não éticos e em desacordo com as boas práticas de governança corporativa por parte das empre� sas atuando do mercado americano. O objetivo final é o de restabelecer o nível de confiança nas informações geradas pelas empresas e, assim consolidar a teoria dos mercados eficientes que norteia o funcionamento do mercado de títulos e valores mobiliários” (BORGERTH, 2005).
  • 21. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 21 O mercado passou a ter um olhar diferenciado para as empresas que possuíssem a cultura de compliance implementada e efetiva. As chamadas “leis de compliance” multiplicaram-se ao redor do mundo, mantendo características semelhantes em sua formatação, tendo sempre como princípios: Ÿ a boa-fé, Ÿ a ética e Ÿ a responsabilidade. Foram previstas sanções pesadas aos infratores e atenuantes significativas, para aqueles que de� monstrassem manter uma estrutura interna de integridade. Quando analisamos as leis de proteção de dados pessoais, quanto à sua natureza e forma, nos deparamos com as mesmas características. Não há a menor dúvida, de que se tratam de normas de compliance, focadas em um ponto específico: proteção da privacidade. Agora que você já entendeu um pouco mais sobre a legislação e as normas de compliance, vamos dar uma volta ao mundo e verificar como diferentes países e continentes estão tratando a proteção de dados da sua população? 2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO Você sabia que, atualmente, vários países do mundo já consolidaram sua legislação de proteção de dados pessoais? Agora, observe como estava esse cenário em novembro de 2019. Figura 10 - Mapa da Proteção de dados pessoais ao redor do mundo País fortemente adequado (GDPR) País adequado País parcialmente adequado Autoridade nacional e lei(s) de proteção de dados pessoais Lei(s) de proteção de dados pessoais Sem lei(s) específica(s) sobre o tema Fonte: Commission Nationale de l’Informatique et des Libertés (2019).
  • 22. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 22 Saiba mais Ficou curioso(a) para saber como está esse mapa neste momento? Que tal matar essa curiosidade!?! Para isso, clique aqui. Observe que no mapa deste link é possível obter mais informações sobre a proteção de dados pessoais de cada país, clicando no mapa do respectivo país. Essas informações, assim como a legenda do mapa, estão em inglês. Europa Ásia Estados Unidos África América Latina Quando o assunto é a proteção de dados pessoais, os europeus sempre estiveram à frente. Confira, na linha do tempo a seguir, como a evolução na proteção de dados ocorreu na Europa. 1970 A primeira lei específica sobre proteção de dados pessoais é publicada no Estado de Hesse, na Alemanha. Trata-se do Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse). 1973 A Suécia publica a primeira lei nacional de proteção de dados, o Ato de Dados Sueco. Nos anos seguintes, vários países da Europa vão pelo mesmo caminho. 1992 É criada a União Europeia. 1995 Entra em vigor a Diretiva 95/46/CE, tratando, especificamente, da proteção de dados pes� soais para todos os países membros da União Europeia. 2016 A Diretiva 95/46/CE foi substituída pela GDPR - General Data Protection Regulation, que entrou em vigor em 2018. Você sabia que a GDPR serviu de base para a nossa Lei Geral de Proteção de Dados Pessoais?
  • 23. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 23 Saiba mais A GDPR é conhecida em Portugal como RGPD - Regulamento Geral sobre a Proteção de Dados. Para conhecer essa legislação, clique aqui. Você deve ter percebido que essa legislação apresenta um conjunto de regras para as empresas ativas na União Europeia, que recolhem, armazenam e utilizam dados pessoais. Para compreender alguns aspectos importantes da GDPR, clique aqui. Boa leitura! Mas, e os EUA? Como será que esse país regulamenta o uso dos dados pessoais? Estados Unidos Ásia Europa África América Latina Você sabia que os Estados Unidos adotam um modelo legislativo diferente do nosso? Baseado na Common Law, os americanos dão preferência aos direitos dos usos e costumes às regras escritas. Assim, procuram valorizar muito a jurisprudência, as decisões dos tribunais e evitam a proli� feração de leis. Mesmo assim, sendo o berço das maiores empresas de tecnologia do mundo, os Estados Unidos também possuem algumas normas, que regulamentam o uso dos dados pessoais, sem, entretanto, possuir uma legislação geral em vigor. Nos EUA, a primeira norma nesse sentido foi o Privacy Act, de 1974. O objetivo dessa norma é equilibrar a necessidade do governo de manter informações sobre os indivíduos com os direitos deles de serem protegidos contra invasões injustificadas de sua privacidade, resultantes da coleta, manutenção, uso e divulgação de informações pessoais (U.S. SMALL BUSINESS ADMINISTRATION, 2019). Sistema de Direito cuja aplicação de normas e regras não estão escritas, mas sancionadas pelo costume ou pela jurisprudência.
  • 24. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 24 PRIVACY ACT Necessidade do governo de manter informações sobre os indivíduos Direito de proteção contra invasões injustificadas de privacidade Fonte: Senac SETED (2019). Depois seguiram-se outras normas, de forma setorizada e/ou localizada. Vamos conhecê-las? HIPPA A Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) trata da proteção de dados na área da saúde. COPPA A Children’s Online Privacy Protection Act (Lei de Proteção à Privacidade On-line das Crianças) trata da proteção de dados de crianças na Internet. CCPA A California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia) é conside� rada, por muitos, mais rigorosa do que a própria GDPR europeia. Essa lei criou novos direitos do consumidor, relacionados ao acesso, exclusão e compartilhamento de informações pes� soais coletadas pelas empresas. Atualmente, há uma grande pressão para que o Congresso Americano aprove uma lei geral de prote� ção de dados pessoais, uniformizando as regras para todo o país.
  • 25. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 25 Ásia Estados Unidos Europa África América Latina Quando pensamos na proteção de dados pessoais nos países asiáticos, dois países nos chamam a atenção: Ÿ Japão: pois, quando se trata de conformidade, correção e cumprimento de normas, logo nos vem à mente a tradicional disciplina japonesa. Por isso, é de se esperar que nesse país exista algo sobre a proteção dos dados pessoais. Ÿ China: devido a seu regime comunista e por sua população ultrapassar 1 bilhão de pessoas. Agora, vamos conhecer como esses países tratam a proteção de dados pessoais? Desde 2005, o Japão tem o chamado “Ato de Proteção de Dados Pessoais”, que regulamenta os inte� resses dos indivíduos no processamento de seus dados por parte das empresas. Já na China, a Lei de Cibersegurança oferece algum tipo de proteção de dados pessoais para os cidadãos. Ásia Estados Unidos Europa África América Latina Apesar da grande diversidade de etnias e culturas, das restrições econômicas e do instável ambiente político, a África surpreende positivamente quando se fala de iniciativas legislativas para a proteção de dados pessoais. Agora, conheça alguns dos principais países africanos que já possuem legislação sobre privacidade de dados: Angola, África do Sul, Gana, Costa do Marfim, Senegal,
  • 26. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 26 Marrocos, Tunísia. E ainda existem importantes iniciativas no sentido de uniformizar tais legislações, como é o caso: Ÿ da Lei Modelo da SADC (Comunidade para o Desenvolvimento da África Austral) e Ÿ das Diretrizes Relativas à Proteção de Dados Pessoais na África, elaborada pela Comissão da União Africana, em conjunto com a Internet Society. Ásia Estados Unidos Europa África América Latina Na América Latina, quando se trata de proteção de dados pessoais, infelizmente nós, brasileiros, estamos longe de exercer nossa condição de líderes naturais. Na verdade, somos um dos países mais atrasados, no que diz respeito a esse tema. Mas, como estão os outros países da América Latina? Observe, na imagem a seguir, alguns países da América Latina que têm leis de proteção de dados pessoais. PAÍSES QUE TÊM LEIS GERAIS DE PROTEÇÃO DE DADOS PESSOAIS, INCLUSIVE, HOMOLOGADAS PELA UNIÃO EUROPEIA COMO EQUIVALENTES À GDPR PAÍSES QUE POSSUEM LEIS PRÓPRIAS PARA TRATAR DOS DADOS PESSOAIS Argentina (2000) Uruguai (2009) Chile Colômbia Peru México Fonte: Senac SETED (2019).
  • 27. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 27 Agora é com você! Agora, antes de prosseguir com seus estudos e compreender a proteção de dados pessoais no Brasil, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta. Como vimos, diversos países ao redor do mundo já adotam leis gerais de proteção de dados ou, no mínimo, possuem alguma legislação esparsa que trate desse assunto. Em geral, são leis, relativamente, recentes. Mas, e como está o Brasil em relação a esse assunto? Na sequência, veremos que o Brasil não fugiu à regra, embora estejamos consideravelmente atrasa� dos quando o tema é a proteção de dados pessoais. Caso você ainda não tenha conferido o texto oficial da LGPD na íntegra, que tal fazê-lo agora? Para isso, clique aqui. Lembre-se de que conhecer essa lei, em sua íntegra, é importante para uma melhor compreensão deste curso. Boa leitura! EUROPA PROTEÇÃO DE DADOS PESSOAIS LEGISLAÇÃO COMPLIANCE GLOBALIZAÇÃO AMÉRICA LATINA ÁFRICA ÁSIA EUA GDPR
  • 28. Lei Geral de Proteção de Dados Pessoais (LGPD) 28 3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL Historicamente, a legislação brasileira adotou o modelo positivista do Direito, denominado de Civil Law, das escolas lusitanas, alemãs e italianas, que privilegiam o direito escrito, em contraponto ao Direito Consuetudinário, o chamado Common Law, baseado nos usos e costumes, adotado pelos países da comunidade britânica e pelos EUA. Tal tradição, reflete-se em uma natural demora para a concretização de todo o processo legislativo, que vai desde a ideia inicial, à criação do projeto de lei, que passa pela necessidade de aprovação bicameral e, posteriormente, pela sanção presidencial, para finalmente, passar a vigorar com força coercitiva. Agora, visualize de forma gráfica como isso ocorre. Ideia inicial Criação do projeto de lei Aprovação bicameral Sanção presidencial Publicação da lei Desse modo, e sem ponderar sobre questões políticas ou interesses partidários, que constantemente se sobrepõem ao desejo da população, nosso país é reconhecido por uma certa lentidão, quando se trata de regulamentar questões culturais e comportamentais como é o caso das leis que versam sobre a proteção de dados pessoais. Nossas primeiras (e tímidas) tratativas, remontam a poucos e esparsos artigos, os quais abordavam o direito à proteção de dados pessoais de forma rasa e genérica como veremos logo adiante. A evolução, nesse sentido, só ocorreu de fato a partir da pressão internacional para que adotássemos mecanismos de proteção de dados pessoais equivalentes aos dos países do bloco europeu, culminando na promulgação da LGPD – Lei Geral de Proteção de Dados Pessoais. Mas, antes de compreender melhor a LGPD, prossiga com seus estudos e conheça como a Constituição Federal, de 1988, deu os primeiros passos em termos de uma legislação para a proteção de dados pessoais. 3.1 OS PRIMEIROS PASSOS Em termos de legislação específica para a proteção de dados pessoais, mesmo que em nível setorial, o Brasil demorou muito tempo para realizar as primeiras iniciativas, sendo que elas ocorreram, somente, com a promulgação da Constituição Federal de 1988. É o instrumento que declara a existência da lei e ordena sua execução. Emendas constitucionais são pro� mulgadas pelas Mesas da Câmara e do Senado, em sessão solene do Congresso. A promulgação das leis complementares e ordinárias é feita pelo presidente da República e ocorre simultaneamente com a sanção.
  • 29. 3 - A proteção de dados pessoais no Brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 29 CONSTITUIÇÃO FEDERAL DE 1988 O seu Art. 5º trata dos direitos e garantias fundamentais do cidadão. Apresenta alguns dispositivos que fazem menção a questões relacionadas à privacidade e inviolabilidade dos dados. CONSTITUIÇÃO 1988 Fonte: Senac SETED (2019). Agora, que tal conhecer como esse artigo da Constituição Federal trata essas questões relacionadas à privacidade e inviolabilidade dos dados (grifos nossos)? Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; [...] XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; A propósito, o inciso XII foi regulamentado, posteriormente, em 1996, pela Lei nº 9.296, que trata sobre a interceptação das comunicações telefônicas. E o Código de Defesa do Consumidor? Será que ele trata sobre algum aspecto relacionado à proteção de dados pessoais?
  • 30. 3 - A proteção de dados pessoais no Brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 30 3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR Promulgado pela Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor (CDC) estabeleceu em seu Art. 43: Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres congêneres1 são considerados entidades de caráter público. § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. § 6º Todas as informações de que trata o caput caput2 deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor. 1  Que apresentam a mesma natureza ou caráter semelhante. 2  Termo que designa o enunciado de um artigo de lei, com incisos, alíneas e/ou parágrafos. Assim, como você pôde compreender pela leitura do artigo, pela primeira vez na legislação brasileira, concedeu-se a garantia de acesso aos dados do titular, exigindo-se, ainda, clareza e objetividade das informações. Outro direito que foi previsto pelo CDC, diz respeito à possibilidade de o consumidor exigir a correção de seus dados cadastrais. Vale lembrar, que, embora as previsões apresentadas no Art. 43 do CDC, tenham oferecido algum avanço em termos de proteção de dados pessoais, sua abrangência é limitada, em função de tal ins� trumento ser aplicável somente às relações de consumo.
  • 31. 3 - A proteção de dados pessoais no Brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 31 Ou seja, o alcance da proteção fica relacionado à existência de um fornecedor de um lado e de um consumidor de outro, no âmbito dos conceitos legais estabelecidos nos Art. 2º e 3º do Código de Defesa do Consumidor. Você, provavelmente, já ouviu falar sobre o Marco Civil da Internet. Talvez, até já tenha lido sobre ele. Mas, você sabe como ele trata proteção de dados pessoais? Que tal descobrir? 3.3 O MARCO CIVIL DA INTERNET A Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabeleceu uma série de princípios e garantias, direitos e deveres para o uso da Internet no Brasil. O Marco Civil da Internet, além de garantir a privacidade e proteção de dados pessoais, assegura a disponibilização desses dados mediante ordem judicial (Figura 11). Figura 11 - Marco civil e proteção de dados pessoais MANDADO JUDICIAL Fonte: Adaptada do Tribunal de Justiça do Distrito Federal e dos Territórios (2015). Apesar de ter inserido, em seus princípios, a proteção de dados pessoais (Art. 3º, inciso III), o Marco Civil da Internet foi muito tímido ao tratar dessa questão. Segundo o CDC, “fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços”. Consumidor, de acordo com o CDC, “é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final”.
  • 32. 3 - A proteção de dados pessoais no Brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 32 Os incisos I a III e VII a X do Art. 7º, dessa legislação, abordam os direitos dos titulares de dados pessoais: Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; [...] VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; Além disso, em sua Seção II, nos Artigos 10 a 12, o Marco Civil tratou de alguns aspectos da respon� sabilidade de proteção dos dados pessoais pelos provedores de acesso e nas operações realizadas através da Internet, prevendo algumas sanções. Perceba que isso é muito pouco, considerando a diversidade e a quantidade de transações de dados pessoais que são realizadas todos os dias em nosso país. Precisávamos, sem dúvida, de uma legislação mais robusta. 3.4 FINALMENTE, UMA LEI GERAL! Finalmente, em 2018, o Projeto de Lei da Câmara dos Deputados nº 53, de 2018, que substituiu outros três projetos do Senado Federal, os quais tramitavam desde 2013, foi aprovado e transformou-se na Lei nº 13.709, de 14 de agosto de 2018, a nossa Lei Geral de Proteção de Dados Pessoais, a chamada LGPD. Transitavam pelos trâmites legais, passando por cada uma das etapas e diligências indicadas na Constituição Federal.
  • 33. 3 - A proteção de dados pessoais no Brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 33 Figura 12 - LGPD LGPD Fonte: Senac SETED (2019). Moderna, complexa e imponente, a Lei Geral de Proteção de Dados Pessoais teve forte inspiração na GDPR, o regulamento europeu de proteção de dados, sem, porém, descer às minúcias deste. Agora é com você! Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta sobre a proteção de dados pessoais no Brasil. Ao estudarmos o histórico legislativo da proteção de dados no Brasil, podemos perceber que não possuíamos, até pouco tempo atrás, qualquer tipo de preocupação com os dados pessoais, refletindo na nossa quase inexistente cultura de proteção de dados. Somos um povo liberal, comunicativo e de certa forma, avesso a amarras e proibições. Com o passar do tempo, foi necessário adequarmos nossa mentalidade e aceitar as regras do jogo em um cenário mundial muito mais interativo, culminando na adoção de uma Lei Geral de Proteção de Dados Pessoais, a LGPD. No próximo tópico, você conhecerá os principais conceitos e características da LGPD, que tanto afetou o cotidiano das empresas e de seu relacionamento com pessoas físicas, sob todos os ângulos. Detalhes, pormenores. PRIVACIDADE MARCO CIVIL DA INTERNET LEGISLAÇÃO CONSUMIDOR FORNECEDOR PROVEDORES CONSENTIMENTO INVIOLABILIDADE DADOS PESSOAIS CONSTITUIÇÃO FEDERAL CDC SIGILO PROTEÇÃO CADASTRO LGPD
  • 34. Lei Geral de Proteção de Dados Pessoais (LGPD) 34 4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Agora que você já compreendeu a importância dos dados pessoais e o motivo pelo qual surgiram as legislações que tratam dessa matéria, é chegada a hora de conhecer a LGPD - a Lei Geral de Proteção de Dados Pessoais do Brasil. Agosto de 2018 Promulgada em 14 de agosto de 2018, pelo então presidente Michel Temer, a LGPD trata-se da Lei nº 13.709, fruto do Projeto de Lei da Câmara nº 53, de 2018. Porém, na ocasião, o presidente Temer, preocupado com a falta de recursos para a criação da Autoridade Nacional de Proteção de Dados (ANPD), vetou todo o Capítulo IX da lei, que tratava da criação e da constituição do órgão. Como consequência, a LGPD, correria o risco de tornar-se “letra morta”, uma vez que não haveria nenhum órgão de controle no governo federal, com a res� ponsabilidade de orientar, fiscalizar e punir as entidades, no âmbito da aplicação da lei. Dezembro de 2018 No entanto, no apagar das luzes de seu governo e diante da enorme pressão recebida pelos organismos internacionais de proteção de dados, o ex-presidente Temer publicou, em 28 de dezembro de 2018, a Medida Provisória (MP) 869, recriando a ANPD. Julho de 2019 Durante o transcorrer do processo legislativo no Congresso Nacional, a MP 869 recebeu 176 emendas, sofrendo algumas modificações, tendo sido finalmente aprovada. Em julho de 2019, foi convertida na Lei nº 13.853, que alterou alguns artigos da LGPD. Após análise por parte da Presidência da República, a Lei nº 13.853 foi promulgada, com nove vetos do presidente Jair Bolsonaro. Setembro de 2019 O Congresso Nacional votou e derrubou parte desses vetos do presidente Bolsonaro, encerrando a fase legislativa. Abril de 2020 O Presidente Bolsonaro publicou a Medida Provisória nº 959/2020, devido à COVID-19, estabelecendo regras para o auxílio emergencial e fazendo o adiamento da vigência da LGPD, que entraria em vigor no dia 14 de agosto de 2020, para maio de 2021. Junho de 2020 Publicação da Lei nº 14.010/2020, postergando as sanções e punições da LGPD para agosto de 2021.
  • 35. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 35 Agosto de 2020 A Lei nº 13.853/2019 criou a ANPD – Autoridade Nacional de Proteção de Dados, dentre as suas diversas competências, deverá interpretar, defender, aplicar sanções e multas, bem como orientar a respeito da LGPD. Contudo, ainda faltava a sua estruturação, situação re� solvida com a publicação do Decreto n° 10.474, de 26 de agosto de 2020. Setembro de 2020 O Presidente Bolsonaro sancionou a Lei nº 14.058/2020, referente a MP nº 959/2020, e re� tira o Artigo 4° que adiava a entrada em vigor da LGPD. Com a exclusão do referido artigo, a Lei nº 13.709/2019 entra em vigor na íntegra a partir de 18 de setembro de 2020, exceto na aplicação das multas previstas nos Artigos 52 a 54, que passarão a vigorar a partir de 01 de agosto de 2021, conforme dispõe o Artigo 65 inciso I-A da referida Lei. A partir de 18 de setembro 2020, as empresas devem estar adequadas para a LGPD, mesmo que a apli� cação das sanções administrativas sejam aplicadas pela ANPD, a partir de agosto de 2021. O judiciário poderá utilizar outras normativas, como o Código de Defesa do Consumidor, para impor punições, na ocorrência de denúncias por parte da pessoa natural, ou Ministério Público. Figura 13 - Lei Geral de Proteção de Dados Pessoais LGPD 18 SET 2020 Dados Proteção Criação da ANPD entrou em vigor em 28 DEZ 2018 Estuturação da ANPD 26 AGO 2020 Fonte: Adaptada de iStock (2019). Apesar da aparente confusão legislativa, a LGPD é uma lei muito bem elaborada e que foi amplamente discutida com a sociedade civil, através de diversas audiências públicas, nas quais várias entidades tiveram oportunidade de se manifestar e fazer sugestões ao texto legal. Você sabia que em sua essência, a LGPD é muito semelhante à GDPR (General Data Protection Regulation, da União Europeia), criada em 2016 e que entrou em vigor em 2018?
  • 36. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 36 Agora, compreenda as diferenças entre essas duas legislações de proteção de dados pessoais. General Data Protection Regulation Essa lei vai à miúde, procurando esgotar todo o assunto e esclarecer detalhes de sua sistemática. Lei Geral de Proteção de Dados Pessoais É uma lei mais concisa que a GDPR, atribuindo à ANPD o dever de regulamentá-la e expedir normas complementares, a fim de garantir a compreensão e a aplicabilidade da lei. Apesar de já termos preocupações suficientes com o que já consta do texto legal da LGPD, muito ainda estará por vir, com a normatização a ser estabelecida pela ANPD. Por ora, convém estudarmos a LGPD na sua integralidade, o que faremos a seguir. 4.1 OBJETIVOS A Lei Geral de Proteção de Dados Pessoais apresenta alguns objetivos. Para conhecê-los, observe a imagem a seguir. OBJETIVOS DA LEI GERAL DE PROTEÇÃO PROTEGER OS DIREITOS FUNDAMENTAIS Dispor sobre o tratamento de dados pessoais para proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade. DESENVOLVIMENTO DA PERSONALIDADE As decisões tomadas pelos indivíduos são baseadas nas informações que recebemos. E temos o direito de receber informações adequadas e oportunas, sem qualquer viés ou influência oculta. E para evitar manipulações, é fundamental proteger a exposição de nossos dados pessoais. LIBERDADE Em seus fundamentos, a LGPD destina-se a garantir ao titular dos dados pessoais uma série de direitos de escolha, exercendo, assim, a livre manifestação da sua vontade. PRIVACIDADE Os dados pessoais formam um conjunto de bens que pertencem ao titular e, conforme garantia constitucional, somente a ele cabe autorizar revelá-los ou distribui-los, preservando, assim, o sigilo de tais informações. Esse não é um direito absoluto, pois comporta exceções, desde que previstas em lei ou em regulamento. Fonte: Senac SETED (2019). Em função disso é que foi adotada uma “Lei Geral”, válida em todo o país e cuja matéria, por ser de interesse nacional, será de competência exclusiva do legislativo federal. 4.2 FUNDAMENTOS O artigo 2º da LGPD apresenta os fundamentos que serviram de base para a elaboração da lei, e que devem ser visitados para sua correta interpretação: LGPD
  • 37. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 37 Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Figura 14 - Fundamentos da LGPD FUNDAMENTOS DA LGPD CIDADANIA E DIGNIDADE PRIVACIDADE E INTIMIDADE LIBERDADE AUTODETERMINAÇÃO INFORMATIVA CONCORRÊNCIA E DEFESA DO CONSUMIDOR INOVAÇÃO E DESENVOLVIMENTO Fonte: Senac SETED (2019). Observe que, na essência, a fundamentação que norteia a criação da legislação de proteção de dados pessoais está muito vinculada à afirmação de direitos dos titulares dos dados, bem como à preservação da transparência e da boa-fé nas relações negociais. 4.3 APLICABILIDADE A LGPD deve ser observada por pessoas físicas ou jurídicas, públicas ou privadas. Mas, você sabe quais são os critérios de aplicabilidade dessa lei? A LGPD tem como critérios de aplicabilidade a proteção de dados pessoais cujas operações de tratamento estejam sendo realizadas no território nacional. Também é aplicada quando a atividade de tratamento dos dados tenha por objetivo a oferta de bens ou de serviços à pessoa localizada em
  • 38. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 38 território nacional, ou que o tratamento de dados realizado, seja de indivíduos localizados no território nacional, independentemente de sua nacionalidade. É aplicada ainda, quando mesmo que os dados estejam localizados fora do Brasil, tenham sido aqui coletados. Talvez mais importante ainda, seja saber em que condições não é aplicada a LGPD, conforme preceitua o Art. 4º da LGPD, que tentaremos simplificar aqui. Não se aplica a LGPD, quando o tratamento de dados pessoais for realizado: Por pessoa natural para fins, exclusivamente, particulares e não econômicos. Para fins jornalísticos ou artísticos. Para fins acadêmicos, desde que observadas as bases legais. Para fins exclusivos da segurança pública, defesa nacional ou segurança do Estado. Para atividades de investigação e repressão de crimes. Em função de dados provenientes de países que não tenham leis aderentes ao sistema de proteção de dados pessoais, no mesmo grau conferido pela lei brasileira e que não sejam compartilhados com agentes de tratamento brasileiros. 4.4 PRINCIPAIS CONCEITOS Para melhor compreensão da LGPD, é importante que você assimile alguns termos e conceitos que são empregados ao longo de todo o texto legal. Vamos conhecê-los? Titular Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento. Tratamento Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processa� mento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Agentes de Tratamento O controlador e o operador.
  • 39. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 39 Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Encarregado Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entreocontrolador,ostitularesdosdadoseaAutoridadeNacionaldeProteçãodeDados(ANPD). Autoridade Nacional Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumpri� mento desta Lei em todo o território nacional. Consentimento Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 4.5 PRINCÍPIOS A SEREM OBSERVADOS A LGPD estabelece, em seu Art. 6º, alguns princípios norteadores, os quais devem ser utilizados nas situações em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa. Vamos conhecê-los? Finalidade Propósitos legítimos, específicos, explícitos e informados ao titular. Adequação Compatibilidade do tratamento com as finalidades informadas ao titular. Livre Acesso Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma, duração e integridade do tratamento. Qualidade dos Dados Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados. Transparência Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
  • 40. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 40 Segurança Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Prevenção Adoção de medidas para prevenir a ocorrência de danos. Não Discriminação Impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos. Responsabilização e Prestação de Contas Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelece o Art. 6º da Lei Geral de Proteção de Dados. Mas, você sabe quando é permitido realizar o tratamento de dados pessoais? 4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS A Lei nº 13.709 estabelece, em seu Art. 7º, dez hipóteses em que é permitido realizar o tratamento de dados pessoais. Vamos conhecê-las? Consentimento do titular É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse consentimento deve ser dado por escrito ou por qualquer outro meio que demonstre a manifestação da vontade do titular, através de cláusulas destacadas. Importante O controlador deve provar que o consentimento foi dado pelo titular, para finalidades determinadas. Uma das restrições em se utilizar o consentimento como base legal, é que ele poderá ser revogado a qualquer momento, de forma fácil e gratuita. Isso poderá inviabilizar completamente a continuidade do tratamento dos dados. LGPD LGPD
  • 41. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 41 Cumprimento de obrigação legal ou regulatória pelo controlador Significa que, mesmo sem o consentimento do titular, o controlador deve guardar dados pessoais, processá-los, transmiti-los ou compartilhá-los, por força de lei ou de algum regulamento normativo. Dentre esses dados estão: Ÿ dados pessoais constantes em documentos fiscais, por exigência da legislação tributária/fiscal; Ÿ dados referentes aos empregados, por conta das leis trabalhistas; Ÿ dados a serem armazenados por determinado período, por conta de normas setoriais. Pela administração pública, para a execução de suas finalidades Hipótese em que o tratamento de dados pessoais, pela administração pública, se justifica, para possi� bilitar a execução de políticas promovidas pelo setor público. Observe na imagem a seguir, alguns exemplos dessa hipótese. EXEMPLOS DA HIPÓTESE “PELA ADMINISTRAÇÃO PÚBLICA, PARA A EXECUÇÃO DE SUAS FINALIDADES” BENEFÍCIOS ASSISTENCIAIS Bolsa Família, financiamentos habitacionais SEGURANÇA Registros criminais e prisionais, ressocialização do apenado ÁREA DA EDUCAÇÃO Para a destinação de verbas e execução de diretrizes ÁREA DA SAÚDE Relacionada ao SUS - Sistema Único de Saúde Fonte: Senac SETED (2019). Estudos por órgão de pesquisa (anonimização, sempre que possível) Ocorre quando um órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos realiza pesquisas de caráter histórico, científico, tecnológico ou estatístico. Que estão registrados.
  • 42. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 42 Para execução de contrato ou de procedimentos preliminares a este, quando solicitado pelo titular Ocorre quando o tratamento de dados pessoais é indispensável para o cumprimento dos próprios objetivos do contrato firmado ou para o envio de propostas, elaboração de minutas e outros entendi� mentos ou negociações prévias. Agora, observe alguns exemplos dessa hipótese. EXEMPLOS DA HIPÓTESE “PARA EXECUÇÃO DE CONTRATO OU DE PROCEDIMENTOS PRELIMINARES A ESTE, QUANDO SOLICITADO PELO TITULAR” Contratos de trabalho Minutas de negociação de preços e condições Contratos com operadoras de saúde Contratos de execução diferida (operadora de telefonia, água, luz, televisão a cabo) Contratos de financiamento bancário Fonte: Senac SETED (2019). Exercício regular de direitos em processo judicial, administrativo ou arbitral Esta hipótese apresenta as situações em que o tratamento de dados pessoais se legitima para fins de operacionalização e execução de processos. Vamos conhecer exemplos dessa hipótese? EXEMPLOS DA HIPÓTESE “EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL” Processo arbitral referente a desacordo comercial Processo administrativo para suspensão de multas Processo judicial de reconhecimento de paternidade Processo judicial de reparação de danos causados em acidentes de veículos Fonte: Senac SETED (2019).
  • 43. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 43 Proteção da vida ou da incolumidade física do titular ou de terceiros Essa hipótese permite o tratamento de dados do titular ou de terceiros, em situações em que estes estejam expostos a riscos, perigo de morte ou suscetíveis a causar-lhes danos físicos graves. Agora, que tal conhecer exemplos dessa hipótese? EXEMPLOS DA HIPÓTESE “PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIROS” Sinal de georreferenciamento para localização de suspeitos de crimes graves Identificação de suspeito de espalhar doença contagiosa grave/ epidemia Situações de perigo extremo, tentativas de assassinato, agressões Fonte: Senac SETED (2019). Tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária Entende-se por tutela da saúde, os cuidados a serem empregados visando proteger, preservar ou reestabelecer a saúde dos agentes sujeitos de direito. Os procedimentos realizados por profissionais de saúde têm interpretação extensiva, mas pode-se adotar, por padrão, aqueles descritos no Rol de Procedimentos e Eventos em Saúde - 2018, da Agência Nacional de Saúde Suplementar (ANS). Atendimento aos interesses legítimos do controlador ou de terceiros É um critério bastante subjetivo, em que há a possibilidade de se tratar dados pessoais, desde que não se contraponham aos direitos e liberdades fundamentais do titular e sejam somente os dados, estritamente, necessários e relacionados com as atividades praticadas pelo controlador dos dados. Um exemplo clássico é o envio de publicidade/oferta de serviços aos clientes. Essa hipótese não se aplica aos dados pessoais sensíveis! Condição de estar livre de perigo ou dano; que está em segurança.
  • 44. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 44 Recapitulando Lembre-se de que dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Proteção do crédito Dispensa o consentimento do titular de dados pessoais em situações em que a coleta é realizada para pesquisa e análise de riscos relacionados à concessão de crédito. Esse é o caso dos scores de crédito para financiamentos bancários ou para identificação da situação de inadimplência junto ao SERASA/SPC. Atenção Toda vez que for necessário fornecer uma justificativa de uso de um determinado dado pessoal dentro da empresa, essa justificativa deverá se enquadrar em uma dessas dez situações. Do contrário, o tratamento dos dados será considerado indevido ou ilegal, abrindo margem à responsabilização tanto por parte do controlador quanto por parte do operador dos dados. 4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS Sendo a LGPD uma lei para a proteção de dados pessoais, um de seus pontos mais impactantes é o estabelecimento dos direitos do titular, previstos em seus Artigos 17 e 18. Além da garantia da titularidade dos dados, ou seja, a pessoa física que forneceu o dado é proprie� tária dele, a lei também estabelece que, mediante requisição, o titular poderá solicitar ao controlador dos dados algumas informações. Para conhecê-las, observe a imagem a seguir. Score de crédito: É o resultado dos hábitos de pagamento e relacionamento do cidadão com o mercado de crédito. SPC: Serviço de Proteção ao Crédito.
  • 45. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 45 DIREITOS DOS TITULARES NA LGPD Confirmação da existência de tratamento Acesso aos dados Correção de dados incompletos, inexatos ou desatualizados Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD Portabilidade dos dados a outro fornecedor Eliminação dos dados pessoais tratados com o consentimento do titular Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados Revogação do consentimento Fonte: Senac SETED (2019). Como se pôde ver, trata-se de uma mudança significativa no relacionamento entre o titular e o con� trolador do dado. É bem verdade que muitos dos direitos previstos nessa lei, ainda precisarão ser regulamentados pela ANPD. Questões como a forma de requisição e os prazos para respostas ainda precisarão de normas complementares para sua melhor aplicabilidade. Mas, não há como negar que para os titulares de dados, os avanços são significativos. Já para as empresas, resta a necessidade de rápida adequação, o que é um “belo diferencial competitivo”. 4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO Nos tratamentos de dados do poder público, a LGPD procurou, principalmente, preservar algumas leis anteriores, no que diz respeito à transparência e ao direito à informação. De tal sorte que, embora no conjunto da LGPD, as obrigações de empresas públicas e privadas sejam bastante semelhantes, existem pequenos pontos em que a ANPD ainda terá que fornecer explicações como é caso de aplicação de uma multa a um órgão do próprio governo.
  • 46. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 46 4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS A LGPD destinou todo o seu capítulo V para tratar da transferência internacional de dados. No Art. 33, já encontramos o princípio da reciprocidade: Art. 33 - A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; Ou seja, para que possamos enviar dados para fora do país, é obrigatório que o país de destino possa oferecer semelhante grau de proteção ao conferido pela lei brasileira. Além disso, a LGPD apresenta algumas situações em que é permitida a transferência de dados como: Ÿ na adoção de cláusulas padrões contratuais e Ÿ na adoção de normas públicas globais. 4.10 AGENTES DE TRATAMENTO Quando mencionamos os agentes de tratamento de dados, estamos nos referindo sempre a dois quadros: Controlador de Dados Aquele que irá tomar a decisão com base nos dados tratados. Pode ser tanto uma pessoa física quanto jurídica. Operador de Dados É a pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do controlador. Nesse aspecto, é importante refletir que a responsabilidade civil sobre incidentes de vazamentos de dados, independentemente de onde o fato tenha ocorrido (no operador ou no controlador), será de ambos os agentes, que responderão, solidariamente, por eventuais indenizações. 4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO) A LGPD prevê, em seu Art. 41, para toda empresa controladora de dados, a obrigatoriedade da nome� ação de um encarregado pelo tratamento de dados pessoais.
  • 47. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 47 Também conhecido como DPO – Data Protection Officer, nomenclatura advinda da GDPR europeia, o encarregado de dados pode ser uma pessoa física ou jurídica, a qual deve ter sua identidade e in� formações de contato divulgadas publicamente, de preferência, através do site da empresa. Ele atua como um canal de comunicação da empresa, interagindo com os titulares de dados e com a ANPD. Entre suas atribuições legais, estão importantes atividades. Vamos conhecê-las? ATIVIDADES DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais Analisar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências Receber comunicações da autoridade nacional e adotar providências Fonte: Senac SETED (2019). A ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarre� gado, hipóteses de dispensa de sua indicação, conforme a natureza da empresa, porte ou volume de operações de tratamento de dados pessoais. 4.12 SEGURANÇA E BOAS PRÁTICAS A LGPD, como uma boa norma de conformidade, dedicou todo o seu Capítulo VII para tratar da questão da segurança e das boas práticas no tratamento dos dados pessoais. Em seu Art. 46, a lei determina que os agentes de tratamento devem adotar medidas de segurança, téc� nicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Você sabia que a ANPD poderá dispor sobre os padrões técnicos mínimos a serem adotados? As medidas protetivas devem ser consideradas desde a concepção do produto e/ou serviço até sua execução (princípios do privacy by design/privacy by default). Privacy by Design é uma metodologia em que a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais. O Privacy by Default é uma decorrência do Privacy by Design. Em outras palavras, trata-se da ideia de que o produto ou serviço seja lançado e recebido pelo usuário com todas as salvaguardas que foram concebidas durante o seu desenvolvimento. Ou seja, todas as medidas para proteger a privacidade que foram idealizadas, desde o início do desenvolvimento do projeto, atendendo o princípio do Privacy by Design.
  • 48. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 48 Atenção A manutenção das medidas de segurança deverá prosseguir mesmo após o término do tratamento de dados. Os incidentes de segurança relevantes deverão ser comunicados à ANPD, em prazo razoável (a ser definido pela ANPD) e deverão mencionar, no mínimo: A natureza dos dados pessoais afetados. Informações sobre os titulares envolvidos. Medidas técnicas e de segurança utilizadas. Riscos relacionados ao incidente. Motivos da demora, caso a comunicação não seja imediata. Medidas adotadas para reverter ou mitigar os prejuízos. A ANPD poderá exigir providências do controlador como: Ÿ divulgar os fatos nos meios de comunicação (publicização) e Ÿ adotar medidas para reverter ou mitigar os efeitos do incidente. Na avaliação da gravidade, a ANPD irá levar em conta a comprovação de medidas técnicas adequadas à proteção de dados (considerados os limites técnicos dos serviços). Importante Os sistemas utilizados no tratamento de dados pessoais devem atender aos princípios, requisitos de segurança e padrões de boas práticas e de governança previstos na lei e normas regulamentares. Divulgação; ação de fazer com que algo se torne público; realizar publicidade.
  • 49. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 49 4.13 FISCALIZAÇÃO E PENALIDADES Como toda lei que visa proteger e preservar algum bem, ela só terá efeito prático e garantia de funcio� namento, se possuir força coercitiva, sob a ameaça de aplicações de sanções. Informação A fiscalização do cumprimento da LGPD cabe à Autoridade Nacional, que se incumbirá de autuar, multar e conduzir os processos na esfera administrativa. Nada impede, porém, que outros órgãos do governo promovam o cumprimento da lei, nas esferas de suas competências, como é o caso do Ministério Público e dos PROCONs, que já vêm atuando nesse sentido, antes mesmo da entrada em vigor da lei. • Advertência e prazo para adoção de medidas corretivas. • Publicização da infração. • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. • Bloqueio dos dados pessoais. • Eliminação dos dados pessoais. • Suspensão parcial do banco de dados por 6 meses, prorrogáveis por igual período, até a regularização da atividade. • Suspensão do exercício da atividade de tratamento de dados pessoais por 6 meses, prorrogável por igual período. • Multa simples, de até 2% (dois por cento) do faturamento, limitada a R$ 50.000.000,00 por infração. • Multa diária. SANÇÕES PREVISTAS NA LGPD NO ÂMBITO DA ANPD É importante destacar que a chamada “publicização da infração”, significa dizer que o controlador deverá informar aos titulares dos dados e à ANPD, caso ocorra algum incidente de segurança que resulte em risco ou dano relevante para os titulares, devendo ainda divulgá-lo perante os meios de comunicação, informando as condições em que ocorreu, tais como: Quando aconteceu o incidente? Quais dados pessoais foram prejudicados?
  • 50. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 50 Quem foram os titulares afetados? Qual o volume de dados atingido? Quais as medidas mitigatórias adotadas para reverter/fazer cessar o dano imposto aos titulares? Já para a aplicação das penalidades, são levados em conta os seguintes fatores: Ÿ gravidade e a natureza das infrações, Ÿ boa-fé do infrator, Ÿ vantagem do infrator, Ÿ condição econômica do infrator, Ÿ reincidência, Ÿ grau do dano, Ÿ cooperação do infrator, Ÿ existência de mecanismos e procedimentos internos capazes de minimizar o dano, Ÿ existência de política de boas práticas e governança, Ÿ pronta adoção de medidas corretivas, Ÿ proporcionalidade entre a gravidade da falta e a intensidade da sanção. Atenção Isso significa que as empresas públicas e privadas devem estar adequadas ao cumprimento da lei, a partir de 18 de setembro de 2020, estando suscetível a aplicação de sansões e penalidades por outros órgãos, como de defesa do consumidor e Ministério Público, e a partir de agosto de 2021, pela ANPD. 4.14 ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS Como já mencionamos, a ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Ela possui várias atribuições previstas na LGPD, podendo expedir normas regulatórias complementares à lei. O Art. 55-A, parágrafo primeiro, da LGPD descreve a ANPD como de natureza jurídica transitória, que poderá ser transformada em Autarquia vinculada a Presidência da República. A sua estrutura regimental foi aprovada pelo Decreto n° 10.474, de 26 de agosto de 2020. Para conhecer sua composição, observe o esquema a seguir.
  • 51. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 51 Estrutura organizacional da ANPD CONSELHO DIRETOR Órgão máximo de decisão ÓRGÃOS DE ASSISTÊNCIA DIRETA E IMEDITA AO CONSELHO DIRETOR Secretaria Geral, Coordenação Geral de Administração e Coordenação Geral de Relações Institucionais e Internacionais ÓRGÃOS ESPECÍFICOS SINGULARES Coordenções-Gerais de Normatização, Fiscalização e Tecnologia e Pesquisa ÓRGÃO SECCIONAIS Corregedoria, Ouvidoria e Assessoria Jurídica ÓRGÃO CONSULTIVO Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Fonte: Senac SETED (2019). O Conselho Diretor é constituído por 5 membros indicados pelo Ministro de Estado Chefe da Casa Civil da Presidência da República e nomeados pelo Presidente, após aprovação do Senado Federal. O mandato dos membros do Conselho Diretor é de quatro anos, prorrogável uma vez, por igual período. O Conselho Diretor, de acordo com o Artigo 4° do Decreto nº 10.474/2020, estará investido de dezenove competências objetivando orientar, interpretar, fiscalizar e aplicar as necessárias sanções aos entes públicos e privados que transgredirem a LGPD, tendo ainda caráter autônomo, técnico e decisório, inclusive de solicitar, conforme segue demonstrado, relatórios e informações, e de acordo com os relatórios e diligências, instaurar e processar administrativamente as situações divergentes da LGPD sob sua competência: ÓRGÃOS E ENTIDADES DO PODER PÚBLICO CONTROLADORES Art. 5° da Lei nº 13.709/2018 AGENTES PÚBLICOS Relatório de Impacto à proteção de dados pessoais. Poderá ainda solicitar informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no que se refere à aprovação de transferências internacionais de dados. Informações específicas sobre o tipo e tratamento realizado nos dados pessoais. Publicação de relatórios de impacto à proteção de dados pessoais, sugerindo adoção de padronização e boas práticas. Fonte: Adaptado de Brasil (2018) e Brasil (2020a). Mas, como está o cenário atual do Brasil na proteção de dados pessoais?
  • 52. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 52 Você já deve ter ouvido ou lido alguma reportagem sobre o vazamento de dados pessoais em alguma grande empresa. Segundo a pesquisa anual da IBM, “Cost of a Data Breach”, em 2019, o Brasil foi o quarto colocado em termos de volume de informações vazadas. Preocupante, não é mesmo? Conforme já apresentamos neste curso, a LGPD, além de colocar o Brasil no grupo de países que pro� tegem o titular de dados pessoais, traz um novo olhar para esse tipo de dado. Basicamente, podemos dizer que essa legislação tem impacto sobre como as organizações coletam, armazenam e analisam os dados pessoais de seus clientes e colaboradores. Os cuidados com o ar� mazenamento devem buscar garantir que esses dados não sejam vazados. Assim, com a entrada em vigor dessa lei, espera-se que o Brasil passe a ocupar uma posição melhor nesse ranqueamento realizado pela IBM. Agora é com você! Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta sobre a LGPD. Nesse passeio sobre a LGPD, abordamos a estrutura, os principais conceitos da lei, seus critérios de aplicabilidade, os diferentes atores envolvidos e também as sanções pas� síveis de serem impostas em caso de descumprimento. Com essas informações, você deverá estar se sentindo mais preparado e confiante para enfrentar os desafios a seguir. Eles envolvem uma interessante reflexão sobre quais impactos a LGPD irá provocar nas relações negociais, considerando a sua aplica� bilidade geral, envolvendo os direitos de titulares de dados pessoais tratados por empresas de todos os portes e de todos os segmentos da atividade econômica. Mas, você sabe quais são os impactos da LGPD nas relações negociais? Já pensou sobre que ações a empresa que você trabalha adotou para se adequar a essa legislação? SEGURANÇA AGENTES DE TRATAMENTO TRANSFERÊNCIA INTERNACIONAL DE DADOS PRINCÍPIOS OBJETIVOS APLICABILIDADE BASES LEGAIS FISCALIZAÇÃO PENALIDADES DPO LGPD ANPD
  • 53. Lei Geral de Proteção de Dados Pessoais (LGPD) 53 5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS Assim como já aconteceu em diferentes ocasiões, com outros diplomas legais, como o Código de Defe� sa do Consumidor ou com o novo Código Civil, a LGPD também causou profundas mudanças na forma das empresas se relacionarem com as pessoas físicas, com as quais mantêm algum tipo de contato, como no caso de empregados ou clientes. Você sabia que o impacto também ocorreu nas relações negociais entre as empresas e até mesmo no âmbito governamental? Isso deve-se ao fato de que a LGPD trata de assuntos que estão muito presentes no nosso cotidiano, exigindo que tanto as empresas quanto os indivíduos, passem a atentar para determinados aspectos de privacidade e de gerenciamento da informação, e passem a agir de forma efetiva, visando a proteção dos dados pessoais. Certamente, teremos pela frente um grande desafio, cercado de algumas incertezas, o que poderá provocar um certo desconforto inicial. No entanto, imaginamos que com o passar dos dias e com a esperada atuação da ANPD, aos poucos, a nuvem cinzenta, que hoje se descortina no horizonte, possa ir se dissipando, e que a sociedade passe para uma fase mais tranquila no que diz respeito ao uso e à proteção dos dados pessoais. A experiência europeia nos mostra que muitos ajustes terão que ser realizados pelas empresas, e que o quanto antes elas buscarem a adequação de seus processos e procedimentos às previsões da LGPD: Ÿ menor será o impacto em suas atividades diárias e Ÿ menor será o risco de sofrer penalidades em função de possíveis não conformidades. Mas, o que a LGPD muda no dia a dia das empresas? 5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS Com a entrada em vigor da LGPD, a partir de setembro de 2020, os desafios para as empresas são enormes. Videoaula Para entender um pouco melhor esses desafios e outros aspectos relacionados à LGPD, clique aqui e assista à entrevista com o advogado Luciano Bridi, pós-graduado em Gestão de Projetos de Tecnologia da Informação e autor deste curso. Nessa entrevista, você pôde compreender que para o sucesso de um programa de privacidade, é importante que três aspectos sejam atendidos: tecnologia, processos e pessoas. Assim, para proteger os dados pessoais, o redesenho das políticas da empresa que envolvem esses aspectos é fundamental.
  • 54. 5 - O impacto da LGPD nas relações negociais Lei Geral de Proteção de Dados Pessoais (LGPD) 54 Atenção Todas as situações em que dados pessoais são tratados deverão ter sido verificadas, pois, a qualquer momento, os titulares de dados poderão exercer seus direitos, exigindo respostas. Os empregados, os clientes que sejam pessoas físicas e, até mesmo, outros terceiros que, em algum momento, tenham tido seus dados coletados, armazenados, processados ou simplesmente consultados pelas empresas, estarão aptos a: Realizar reclamações, Receber retornos sobre a finalidade do uso desses dados, Solicitar a sua correção ou exclusão, Pedir esclarecimentos sobre com quem tais dados foram compartilhados etc. Enfim, toda uma gama de direitos que anteriormente eram ignorados, passaram, agora, a ser valori� zados e ganharam destaque na mídia. A possibilidade da ocorrência de incidentes de proteção de dados obrigará as empresas a manter planos de contingência para tais situações. Os riscos deverão estar mapeados e mitigados e um plano de ações deverá ser executado. Além disso, a adequação à LGPD diz respeito a mudanças culturais, que envolvem a tecnologia, os processos e, principalmente, as pessoas. Novas políticas e procedimentos surgirão, provocando alte� rações nas rotinas diárias. As empresas precisarão estar abertas para essas mudanças, que envolverão a necessidade de: Ÿ planejamento, Ÿ orçamento e Ÿ capacidade de execução. 5.2 CENÁRIO INICIAL Levando-se em conta a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, em 18 de setembro de 2020, e o atual grau de adequação das empresas, em que muitas ainda sequer ouviram falar da LGPD, temos um cenário preocupante à frente.
  • 55. 5 - O impacto da LGPD nas relações negociais Lei Geral de Proteção de Dados Pessoais (LGPD) 55 Ainda é preciso muita divulgação, para que os empresários, em geral dos pequenos e médios negó� cios, se conscientizem da importância que esse diploma legal terá no relacionamento com as pessoas físicas titulares de dados. O nível de exposição a riscos de incidentes ligados ao tratamento de dados terá um crescimento subs� tancial, e com eles, pode-se imaginar até mesmo o surgimento da chamada “indústria da indenização”, pautada em buscar reparações de danos por violações de direitos dos titulares de dados. Mas, como será a atuação inicial da ANPD? De acordo com o Decreto n° 10.474/2020, a partir de agosto de 2021, quando a ANPD estiver atuando, ela terá o compromisso de zelar, fiscalizar, orientar, promover ações de cooperação, dentre outras competências. O texto do Decreto não deixa dúvidas de que ANPD é investida de autonomia técnica e decisória com jurisidição no território nacional, instaurando processos administrativos e, de acordo com a decisão, impondo multas e sanções em conformidade com a transgressão cometida contra a LGPD. A ANPD é a guardiã da Lei, e compete às instituições públicas e privadas, independentemente do seu seguimento e tamanho, estar em consonância com a normativa que entrou em vigor em 18 de setembro de 2020, para evitar a forte atuação fiscalizadora, que é a essência da ANPD. 5.3 O PERIGO DA FALTA DE ADEQUAÇÃO A lei prevê penalidades bastante onerosas para as empresas que não estiverem preparadas. A omissão das organizações na adoção de medidas mitigadoras dos riscos de incidentes com dados pessoais poderá ser punida de forma exemplar. NA UNIÃO EUROPEIA, APÓS POUCO MAIS DE UM ANO DA ENTRADA EM VIGOR DA GDPR, HOUVE: 200.000 denúncias 64.000 autuações Fonte: Senac SETED (2019). Como você pôde perceber, na Europa, as autoridades nacionais não têm dado trégua. Você sabia que o custo da falta de adequação representa em média mais de três vezes o valor dispendido com investimentos necessários para colocar a empresa em conformidade com a lei?